

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# コンソールで組織の証跡を作成する
<a name="creating-an-organizational-trail-in-the-console"></a>

CloudTrail コンソールから組織の証跡を作成するには、[十分な権限](creating-an-organizational-trail-prepare.md#org_trail_permissions)を持つ管理者または委任された管理者アカウントのユーザーまたはロールとしてコンソールにサインインする必要があります。管理アカウントまたは委任された管理者アカウントでサインインしていない場合、CloudTrail コンソールで証跡を作成または編集するときに、組織に証跡を適用するオプションは表示されません。

**を使用して組織の証跡を作成するには AWS マネジメントコンソール**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。

   組織の証跡を作成するには、[十分な権限](creating-an-organizational-trail-prepare.md#org_trail_permissions) を持つ管理アカウントまたは委任された管理者アカウントの IAM ID を使用してサインインする必要があります。

1. **[Trails]** (証跡) を選択し、**[Create trail]** (証跡の作成) を選択します。

1. **[Create Trail]** (証跡の作成) ページの **[Trail name]** (証跡名) に証跡の名前を入力します。詳細については、「[CloudTrail リソース、Amazon S3 バケット、KMS キーの命名要件](cloudtrail-trail-naming-requirements.md)」を参照してください。

1. [**組織内のすべてのアカウントに対して有効にする**] を選択します。管理アカウントまたは委任された管理者アカウントのユーザーまたはロールでコンソールにサインインした場合にのみ、このオプションが表示されます。組織の証跡を正しく作成するには、ユーザーまたはロールに[十分なアクセス許可](creating-an-organizational-trail-prepare.md#org_trail_permissions)があることを確認してください。

1. [**ストレージの場所**] の [**S3 バケットを作成する**] を選択すると、新しいバケットが作成されます。新しいバケットを作成すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。
**注記**  
[**Use existing S3 bucket**] を選択した場合、[**Trail log bucket name**] のバケットを指定するか、[**Browse**] を選択してバケットを選択します。任意のアカウントに属するバケットを選択できますが、バケットポリシーは書き込むための許可を CloudTrail に付与する必要があります。バケットポリシーを手動で編集する方法については、[CloudTrail の Amazon S3 バケットポリシー](create-s3-bucket-policy-for-cloudtrail.md) を参照してください。

   ログを見つけやすくするために、新しいフォルダ (*プレフィックス*とも呼ばれます) を既存のバケットに作成して CloudTrail ログを保存します。プレフィックスを [**プレフィックス**] に入力します。

1. **[Log file SSE-KMS encryption]** (ログファイルの SSE-KMS 暗号化) で、SSE-S3 暗号化を使用する代わりに SSE-KMS 暗号化を使用してログファイルとダイジェストファイルを暗号化する場合は、**[Enabled]** (有効) を選択します。デフォルトは [**Enabled**] です。SSE-KMS 暗号化を有効にしない場合、ログファイルとダイジェストファイルは SSE-S3 暗号化を使用して暗号化されます。SSE-KMS 暗号化の詳細については、「[AWS Key Management Service (SSE-KMS) によるサーバー側の暗号化の使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)」を参照してください。SSE-S3 暗号化の詳細については、「[Amazon S3 が管理する暗号化キーによるサーバー側の暗号化 (SSE−S3) の使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)」を参照してください。

   SSE-KMS 暗号化を有効にする場合は、**新規**または**既存** AWS KMS keyを選択します。[**AWS KMS Alias**] で、`alias/` {{MyAliasName}} フォーマットのエイリアスを指定します。詳細については、「[コンソールで KMS キーを使用するようにリソースを更新する](create-kms-key-policy-for-cloudtrail-update-trail.md)」を参照してください。
**注記**  
別のアカウントのキーの ARN を入力することもできます。詳細については、「[コンソールで KMS キーを使用するようにリソースを更新する](create-kms-key-policy-for-cloudtrail-update-trail.md)」を参照してください。このキーポリシーは、CloudTrail がキーを使用してログファイルとダイジェストファイルを暗号化できるようにし、指定したユーザーが暗号化されていない形式でログファイルまたはダイジェストファイルを読み取れるようにする必要があります。キーポリシーを手動で編集する方法については、[CloudTrail の AWS KMS キーポリシーを設定する](create-kms-key-policy-for-cloudtrail.md) を参照してください。

1.  [**Additional settings**] で、次の操作を行います。

   1. [**ログファイル検証を有効にする**] で [**Enabled**] を選択して、S3 バケットにログダイジェストが配信されるようにします。ダイジェストファイルは、ログファイルが CloudTrail に配信された後に変更されていないことを確認するために使用できます。詳細については、「[CloudTrail ログファイルの整合性の検証](cloudtrail-log-file-validation-intro.md)」を参照してください。

   1. バケットにログが配信されるたびに通知を受け取る場合は、[**SNS notification delivery**] で [**Enabled**] を選択します。CloudTrail は、1 つのログファイルに複数のイベントを保存します。SNS 通知は、ログファイルごとに送信されます (イベントごとではありません)。詳細については、「[「CloudTrail の Amazon SNS 通知の設定」](configure-sns-notifications-for-cloudtrail.md)」を参照してください。

      SNS 通知を有効にすると、[**Create a new SNS topic**] で、[**New**] を選択してトピックを作成するか、[**Existing**] を選択して既存のトピックを使用します。マルチリージョン証跡を作成した場合、アカウント内ですべてのリージョンからのログファイル配信を知らせる SNS 通知は、ユーザーが作成した単一の SNS トピックに送信されます。

      [**New**] を選択した場合、CloudTrail は新しいトピックの名前を指定します。または、自分で名前を入力できます。[**Existing**] を選択した場合、ドロップダウンリストから SNS トピックを選択します。別のリージョンにあるトピックの ARN を入力したり、適切なアクセス許可を持ったアカウントにあるトピックの ARN を入力することもできます。詳細については、「[CloudTrail の Amazon SNS トピックポリシー](cloudtrail-permissions-for-sns-notifications.md)」を参照してください。

      トピックを作成する場合は、ログファイル配信の通知を受けるトピックを受信登録する必要があります。受信登録は Amazon SNS コンソールから行うことができます。通知頻度の都合上、受信登録については、Amazon SQS キューを使用して通知をプログラムで処理するように設定することをお勧めします。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の使用開始](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)」を参照してください。

1. オプションで、CloudTrail がログファイルを CloudWatch Logs に送信するように CloudTrail を設定するには、[**CloudWatch Logs**] の [**Enabled**] を選択します。詳細については、「[「CloudWatch Logs へのイベントの送信」](send-cloudtrail-events-to-cloudwatch-logs.md)」を参照してください。
**注記**  
管理アカウントのみが、コンソールを使用して、組織の証跡用に CloudWatch Logs のロググループを設定できます。委任管理者は、 AWS CLI または CloudTrail または API オペレーションを使用して CloudWatch Logs ロググループを設定できます。 CloudTrail `CreateTrail` `UpdateTrail` 

   1. CloudWatch Logs との統合を有効にする場合は、[**New**] を選択して新しいロググループを作成するか、[**Existing**] を選択して既存のものを使用します。[**New**] を選択した場合、CloudTrail は新しいロググループの名前を指定します。または、自分で名前を入力できます。

   1. [**Existing**] を選択した場合、ドロップダウンリストからロググループを選択します。

   1. [**New**] を選択して、CloudWatch Logs にログを送信するためのアクセス許可のための新しい IAM ロールを作成します。[**Existing**] を選択して、ドロップダウンリストから既存の IAM ロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、[**ポリシードキュメント**] を展開すると表示されます。このロールの詳細については、「[CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント](cloudtrail-required-policy-for-cloudwatch-logs.md)」を参照してください。
**注記**  
証跡を設定する際には、別のアカウントに属している S3 バケットや Amazon SNS トピックを選択することもできます。ただし、CloudTrail から CloudWatch Logs ロググループにイベントを配信する場合は、現在のアカウント内に存在するロググループを選択する必要があります。

1. **[タグ]** セクションでは、証跡を特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。CloudTrail 証跡と CloudTrail ログファイルを含む Amazon S3 バケットの両方を識別するのにタグが役立ちます。その後、CloudTrail リソースのリソースグループを使用できます。詳細については、「[AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html)」および「[タグ](cloudtrail-concepts.md#cloudtrail-concepts-tags)」を参照してください。

1. [**Choose log events**] ページで、ログに記録するイベントタイプを選択します。[**管理イベント**] で、次の操作を行います。

   1. [**API activity**] で、証跡で記録する対象を [**読み取り**] イベント、[**書き込み**] イベント、またはその両方を選択します。詳細については、「[管理イベント](logging-management-events-with-cloudtrail.md#logging-management-events)」を参照してください。

   1. ** AWS KMS イベントを除外**を選択して、証跡から (AWS KMS) イベントをフィルタリング AWS Key Management Service します。デフォルト設定では、すべての AWS KMS イベントが含まれています。

       AWS KMS イベントを記録または除外するオプションは、証跡で管理イベントをログに記録する場合にのみ使用できます。管理イベントを記録しないことを選択した場合、 AWS KMS イベントはログに記録されず、 AWS KMS イベントログ設定を変更することはできません。

      AWS KMS `Encrypt`、、 などの アクションは`Decrypt`、`GenerateDataKey`通常、大量のイベント (99% 以上) を生成します。これらのアクションは、[**読み取り**] イベントとしてログに記録されるようになりました。`Disable`、、 `ScheduleKey` (通常は AWS KMS イベントボリュームの 0.5% 未満を占める) などの少量の関連 AWS KMS アクションは`Delete`、**書き込み**イベントとして記録されます。

      `Encrypt`、`Decrypt`、`GenerateDataKey` のようなボリュームの大きなイベントを除外し、`Disable`、`Delete`、`ScheduleKey` などの関連イベントを記録する場合は、[**書き込み**] 管理イベントを記録することを選択し、[**Exclude AWS KMS events**] チェックボックスをオフにします。

   1. [**Exclude Amazon RDS Data API events**] を選択して、証跡から Amazon Relational Database Service データ API イベントを除外できます。デフォルト設定では、すべての Amazon RDS Data API イベントが含まれています。Amazon RDS Data API イベントの詳細については、*Aurora の　Amazon RDS Amazon RDS ユーザーガイド*の「[AWS CloudTrailによる Data API コールのログ記録](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html)」を参照してください。

1. データイベントをログに記録するには、[**データイベント**] を選択します。データイベントのログ記録には追加料金が適用されます。詳細については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。

1. 
**重要**  
ステップ 12 ～ 16 は、デフォルトである高度なイベントセレクターを使用してデータイベントを設定するためのものです。高度なイベントセレクターでは、より多くの[リソースタイプ](logging-data-events-with-cloudtrail.md#logging-data-events)を設定し、証跡でキャプチャするデータイベントをきめ細かく制御できます。ネットワークアクティビティイベントをログに記録する予定がある場合は、高度なイベントセレクタを使用する必要があります。ベーシックなイベントセレクターを使用する場合は、[基本的なイベントセレクターを使用してデータイベント設定を構成する](cloudtrail-create-a-trail-using-the-console-first-time.md#trail-data-events-basic-selectors) のステップを完了してから、この手順のステップ 17 に戻ってください。

   **[リソースタイプ]** で、データイベントをログ記録するリソースのタイプを選択します。使用可能なリソースタイプの詳細については、「[データイベント](logging-data-events-with-cloudtrail.md#logging-data-events)」を参照してください。

1. ログセレクタテンプレートを選択します。定義済みテンプレートを選択するか、**[カスタム]** を選択して独自のイベントコレクション条件を定義できます。

   次の定義済みテンプレートから選択できます。
   + **[すべてのイベントをログに記録する]** – このテンプレートを選択すると、すべてのイベントを記録します。
   + **[読み取りイベントのみをログに記録する]** – このテンプレートを選択すると、読み取りイベントのみを記録します。読み取り専用イベントは、`Get*` または `Describe*` イベントなど、リソースの状態を変更しないイベントです。
   + **[書き込みイベントのみをログに記録する]** – このテンプレートを選択すると、書き込みイベントのみを記録します。書き込みイベントは、`Put*`、`Delete*`、または `Write*` イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。
   + **ログのみの AWS マネジメントコンソール イベント** – このテンプレートを選択して、 から発生したイベントのみをログに記録します AWS マネジメントコンソール。
   + ** AWS のサービス 開始されたイベントを除外**する – このテンプレートを選択すると、 `eventType`の を持つ AWS のサービス イベントと`AwsServiceEvent`、リンクされたロール (SLR) AWS のサービスで開始されたイベントを除外できます。 SLRs
**注記**  
S3 バケットの事前定義されたテンプレートを選択すると、 AWS 現在アカウントにあるすべてのバケットと、証跡の作成後に作成したバケットのデータイベントログ記録が有効になります。また、別の AWS AWS アカウントに属するバケットでそのアクティビティが実行された場合でも、アカウントの任意の IAM ID によって実行されるデータイベントアクティビティのログ記録も有効にします。  
証跡が 1 つのリージョンのみに適用される場合、すべての S3 バケットをログ記録する事前定義済みテンプレートを選択すると、同じリージョン内のすべてのバケット、およびそのリージョンで後に作成するバケットに対して、データイベントのログ記録が可能になります。 AWS アカウント内の他のリージョンの Amazon S3 バケットのデータイベントは記録されません。  
マルチリージョンの証跡を作成する場合は、Lambda 関数の事前定義されたテンプレートを選択すると、 AWS アカウントに現在存在するすべての関数と、証跡の作成後に任意のリージョンで作成できる Lambda 関数のデータイベントログ記録が有効になります。単一のリージョンの証跡を作成する場合 ( を使用して作成 AWS CLI)、この選択により、アカウントのそのリージョンに現在存在するすべての関数と、証跡の作成後にそのリージョンで作成する可能性のある Lambda 関数のデータイベントログ記録が有効になります AWS 。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。  
すべての関数のデータイベントのログ記録では、そのアクティビティが別の AWS AWS アカウントに属する関数で実行されている場合でも、アカウントの任意の IAM ID によって実行されるデータイベントアクティビティのログ記録も可能です。

1. (オプション) **[セレクタ名]** に、セレクタを識別する名前を入力します。セレクタ名は、「2 つの S3 バケットだけのデータイベントを記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名は、拡張イベントセレクタに「`Name`」と表示され、**[JSON ビュー]** を展開すると表示されます。

1. **[カスタム]** を選択した場合、**[高度なイベントセレクタ]** で高度なイベントセレクタフィールドの値に基づいて式を構築します。
**注記**  
セレクタは、`*` のようなワイルドカードの使用をサポートしていません。複数の値を 1 つの条件と一致させるには、`StartsWith`、`EndsWith`、`NotStartsWith`、または `NotEndsWith` を使用して、イベントフィールドの先頭または末尾を明示的に一致させることができます。

   1. 次のフィールドから選択します。
      + **`readOnly`** – `readOnly` は、`true` または `false` の値と **[等しい]** になるように設定できます。読み取り専用データイベントは、`Get*` または `Describe*` イベントなどのリソースの状態を変更しないイベントです。書き込みイベントは、`Put*`、`Delete*`、または `Write*` イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。`read` および `write` イベントの両方を記録するには、`readOnly` セレクタを追加しないでください。
      + **`eventName`** - `eventName` は任意の演算子を使用できます。これを使用して、CloudTrail に記録されるデータイベント (`PutBucket`、`GetItem`、または `GetSnapshotBlock`) を含めるまたは除外します。
      + **`eventSource`** – 含めるまたは除外するイベントソース。このフィールドは任意の演算子を使用できます。
      + **[eventType]** – 含めるまたは除外するイベントタイプ。例えば、このフィールドを **[次と等しくない]** `AwsServiceEvent` に設定して、[AWS のサービス イベント](non-api-aws-service-events.md) を除外できます。イベントタイプのリストについては、[管理、データ、ネットワークアクティビティイベントの CloudTrail レコードコンテンツ](cloudtrail-event-reference-record-contents.md) の「[`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)」を参照してください。
      + **sessionCredentialFromConsole** – AWS マネジメントコンソール セッションから発生するイベントを含めるか除外します。このフィールドは、`true` の値で **[次と等しい]** または **[次と等しくない]** に設定できます。
      + **[userIdentity.arn]** – 特定の IAM アイデンティティによって実行されたアクションのイベントを含めるか、除外します。詳細については、[CloudTrail userIdentity 要素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)を参照してください。
      + **`resources.ARN`** – `resources.ARN` には任意の演算子を使用することができますが、**[指定の値に等しい]** または **[指定の値に等しくない]** を使用する場合、値は、テンプレートで `resources.type` の値として指定したタイプの有効なリソースの ARN と正確に一致する必要があります。
**注記**  
`resources.ARN` フィールドを使用して ARN を持たないリソースタイプをフィルタリングすることはできません。

        データイベントリソースの ARN 形式の詳細については、「*サービス認可リファレンス*」の「[AWS のサービスのアクション、リソース、条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)」を参照してください。

   1. 各フィールドについて、**[条件の追加]** を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。例えば、イベントデータストアに記録されているデータイベントから 2 つの S3 バケットのデータイベントを除外するには、フィールドを **[resources.ARN]** に、演算子を **[指定の値で始まらない]** に設定し、イベントをログに記録しない S3 バケット ARN に貼り付けます。

      2 番目の S3 バケットを追加するには、**[条件の追加]** を選択した後に上記の手順を繰り返し、ARN に貼り付けるか、別のバケットをブラウズします。

      CloudTrail が複数の条件を評価する方法については、「[CloudTrail がフィールドの複数の条件を評価する方法](filtering-data-events.md#filtering-data-events-conditions)」を参照してください。
**注記**  
イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、`eventName` などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。

   1. **[フィールドの追加]** を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。例えば、あるセレクタで ARN を値と等しく指定せず、次に、別のセレクタで同じ値に等しくない ARN を指定します。

1. データイベントをログに記録するリソースタイプを追加するには、**[データイベントタイプの追加]** を選択します。ステップ 12 からこのステップまでを繰り返し、リソースタイプの高度なイベントセレクタを設定します。

1. ネットワークアクティビティイベントをログに記録するには、**[ネットワークアクティビティイベント]** を選択します。ネットワークアクティビティイベントにより、VPC エンドポイント所有者は、プライベート VPC から への VPC エンドポイントを使用して行われた AWS API コールを記録できます AWS のサービス。データイベントのログ記録には追加料金が適用されます。詳細については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。

   ネットワークアクティビティイベントをログに記録するには、以下を実行します。

   1. **[ネットワークアクティビティイベントソース]** から、ネットワークアクティビティイベントのソースを選択します。

   1. **[Log selector template]** (ログセレクタテンプレート) でテンプレートを選択します。すべてのネットワークアクティビティイベントをログに記録したり、すべてのネットワークアクティビティアクセス拒否イベントをログに記録したり、**[カスタム]** を選択してカスタムログセレクタを構築し、`eventName` や `vpcEndpointId` などの複数のフィールドでフィルタリングすることができます。

   1. (オプション) セレクターを識別する名前を入力します。セレクタ名は、高度なイベントセレクタに**[名前]** として表示され、**[JSON ビュー]** を展開すると表示されます。

   1. **[高度なイベントセレクタ]** で、**[フィールド]**、**[演算子]**、**[値]** の値を選択して式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。

      1. ネットワークアクティビティイベントを除外するか含める場合は、コンソールの次のフィールドから選択できます。
         + **`eventName`** – `eventName` では任意の演算子を使用できます。これを使用して、`CreateKey` などの任意のイベントを含めるか除外することができます。
         + **`errorCode`** – エラーコードをフィルタリングするために使用できます。現在サポートされている `errorCode` は、`VpceAccessDenied` のみです。
         +  **`vpcEndpointId`** – オペレーションが通過した VPC エンドポイントを識別します。`vpcEndpointId` では任意の演算子を使用できます。

      1. 各フィールドについて、**[条件の追加]** を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。

      1. **[フィールドの追加]** を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。

   1. ネットワークアクティビティイベントのログを記録する別のイベントソースを追加するには、**[ネットワークアクティビティイベントセレクタの追加]** を選択します。

   1. オプションで、**[JSON view]** (JSON ビュー) を展開して、高度なイベントセレクタを JSON ブロックとして表示します。

1. 証跡に CloudTrail Insights イベントをログに記録させたい場合は、[**Insights イベント**] を選択します。

   [**Event type**] で、[**Insights events**] を選択します。**Insights イベント**で、**API コールレート**、**API エラーレート**、または両方を選択します。**[API コール率]** の Insights イベントをログに記録するには、**[Write]** 管理イベントをログ記録している必要があります。**[API エラー率]** の Insights イベントをログに記録するには、**[Read]** または **[Write]** 管理イベントをログ記録している必要があります。

   CloudTrail Insights が異常なアクティビティの管理イベントを分析し、異常が検出されたときにイベントをログに記録します。デフォルトでは、証跡は Insights イベントを記録しません。Insights トイベントの詳細については、「[CloudTrail Insights の使用](logging-insights-events-with-cloudtrail.md)」を参照してください。Insights イベントの記録には追加料金が適用されます。CloudTrail の料金については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。

   Insights イベントは、証跡詳細ページの [**ストレージの場所**] 領域で指定されている同じ S3 バケットの、`/CloudTrail-Insight` という名前の異なるフォルダへ配信されます。CloudTrail によって新しいプレフィックスが作成されます。たとえば、現在の送信先 S3 バケットの名前が `amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail/` の場合、新しいプレフィックスが付いた S3 バケットの名前は `amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail-Insight/` になります。

1. ログに記録するイベントタイプの選択が終了したら、[**Next**] を選択します。

1. [**Review and create**] ページで選択内容を確認します。[**Edit**] を選択して、そのセクションに表示される証跡設定を変更します。証跡を作成する準備ができたら、[**Create trail**] を選択します。

1. 新しい証跡が **[Trails]** (証跡) ページに表示されます。組織の証跡がすべてのメンバーアカウントのすべての有効になっているリージョンで作成されるまでに、最大で 24 時間かかることがあります。[**Trails (証跡)**] ページでは、すべてのリージョンを対象に、アカウント内の証跡が表示されます。約 5 分で、CloudTrail がログファイルを発行し、組織内で実行された AWS API コールが表示されます。ユーザーは、指定した Amazon S3 バケット内のログファイルを確認することができます。

**注記**  
証跡の作成後に証跡名を変更することはできません。ただし、証跡を削除して新しい証跡を作成することは可能です。

## 次の手順
<a name="cloudtrail-create-an-organizational-trail-using-the-console-first-time-next-steps"></a>

証跡を作成したら、証跡に戻って次の変更を加えることができます。
+ 証跡の設定を編集することによって変更します。詳細については、「[CloudTrail コンソールで証跡を更新する](cloudtrail-update-a-trail-console.md)」を参照してください。
+ 必要に応じて、メンバーアカウント内の特定のユーザーが組織のログファイルを読み取れるように Amazon S3 バケットを設定します。詳細については、「[AWS アカウント間の CloudTrail ログファイルの共有](cloudtrail-sharing-logs.md)」を参照してください。
+ ログファイルを CloudWatch Logs に配信するように CloudTrail を設定します。詳細については、[組織の証跡の作成を準備する](creating-an-organizational-trail-prepare.md) の「[「CloudWatch Logs へのイベントの送信」](send-cloudtrail-events-to-cloudwatch-logs.md)」および「[CloudWatch Logs 項目](creating-an-organizational-trail-prepare.md#cwl-org-pb)」を参照してください。
**注記**  
管理アカウントのみが、組織の証跡用の CloudWatch Logs ロググループを設定できます。
+ テーブルを作成し、Amazon Athena でのクエリの実行に使用して、 AWS サービスアクティビティを分析します。詳細については、[Amazon Athena User Guide (Amazon Athena ユーザーガイド)](https://docs.aws.amazon.com/athena/latest/ug/)の「[Creating a Table for CloudTrail Logs in the CloudTrail Console (CloudTrail コンソールで CloudTrail ログのテーブルの作成)](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html#create-cloudtrail-table-ct)」を参照してください。
+ 証跡にカスタムタグ (キーと値のペア) を追加する。
+ 別の組織の証跡を作成するには、**[Trails] **(証跡) ページに戻り、**[Add new trail] **(新しい証跡の追加) を選択します。

**注記**  
証跡を設定する際には、別のアカウントに属している Amazon S3 バケットや SNS トピックを選択することもできます。ただし、CloudTrail から CloudWatch Logs ロググループにイベントを配信する場合は、現在のアカウント内に存在するロググループを選択する必要があります。