による軌跡の管理AWS CLI - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

による軌跡の管理AWS CLI

AWS CLI には、証跡の管理に役立つ他のコマンドがいくつか含まれています。これらのコマンドは、証跡へのタグの追加、証跡ステータスの取得、証跡に対するログ記録の開始と停止、および証跡の削除を行います。証跡が作成されたのと同じ AWS リージョン (そのホームリージョン) からこれらのコマンドを実行する必要があります。AWS CLI を使用するときは、コマンドは自分のプロファイル用に設定された AWS リージョンで実行されることを忘れないようにしてください。別のリージョンでコマンドを実行する場合は、プロファイルのデフォルトのリージョンを変更するか、コマンドに --region パラメータを使用します。

証跡に 1 つ以上のタグを追加します。

既存の証跡に 1 つ以上のタグを追加するには、add-tagsコマンド。

次の例では、名前を持つタグを追加します所有者の値とメアリーの ARN を使用して証跡にarn: aws: クラウドトレイル:us-east-2:123456789012:trail/my-trail米国東部 (オハイオ) リージョンの場合は、を使用します。

aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail --tags-list Key=Owner,Value=Mary --region us-east-2

成功すると、このコマンドは何も返しません。

1 つ以上の証跡のリストのタグ

1 つ以上の既存の証跡に関連付けられているタグを表示するには、list-tags コマンドを使用します。

次の例では、Trail1Trail2のタグを一覧表示します。

aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2

成功すると、このコマンドは以下のような出力を返します。

{ "ResourceTagList": [ { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1", "TagsList": [ { "Value": "Alice", "Key": "Name" }, { "Value": "Ohio", "Key": "Location" } ] }, { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2", "TagsList": [ { "Value": "Bob", "Key": "Name" } ] } ] }

証跡から 1 つ以上のタグを削除します。

既存の証跡から 1 つ以上のタグを削除するには、remove-tagsコマンド。

次の例では、名前のロケーションおよび名前の ARN を持つトレイルからarn: aws: クラウドトレイル:us-east-2:123456789012:trail/Trail1米国東部 (オハイオ) リージョンの場合は、を使用します。

aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 --tags-list Key=Name Key=Location --region us-east-2

成功すると、このコマンドは何も返しません。

証跡の設定と証跡のステータスの取得

を実行describe-trailsデータで証跡に関する情報を取得するにはAWSリージョン。次の例では、米国東部 (オハイオ) リージョンに設定された証跡に関する情報を返します。

aws cloudtrail describe-trails --region us-east-2

コマンドが正常に完了した場合は、次のような出力が表示されます。

{ "trailList": [ { "Name": "my-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, }, { "Name": "my-special-trail", "S3BucketName": "another-bucket", "S3KeyPrefix": "example-prefix", "IncludeGlobalServiceEvents": false, "IsMultiRegionTrail": false, "HomeRegion": "us-east-2", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": true, "IsOrganizationTrail": false }, { "Name": "my-org-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-1" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": true } ] }

を実行get-trailコマンドを使用すると、特定の証跡に関する設定情報を取得します。次の使用例は、my-trail という名前の証跡の設定情報を返します。

aws cloudtrail get-trail - -name my-trail

成功すると、このコマンドは以下のような出力を返します。

{ "Trail": { "Name": "my-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, } }

証跡のステータスを取得するには get-trail-status コマンドを実行します。このコマンドを実行するには、AWSそれが作成されたリージョン (ホームリージョン) か、追加してそのリージョンを指定する必要があります--regionパラメータ。

注記

証跡が組織の証跡であり、お客様が AWS Organizations の組織のメンバーアカウントである場合は、名前だけでなく、その証跡の完全な ARN を提供する必要があります。

aws cloudtrail get-trail-status --name my-trail

コマンドが正常に完了した場合は、次のような出力が表示されます。

{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": "" }

前述の JSON コードに表示されているフィールドに加えて、Amazon SNS または Amazon S3 エラーがある場合はステータスに以下のフィールドが含まれます。

  • LatestNotificationError。 トピックのサブスクリプションに失敗した場合に、Amazon SNS によって出力されたエラーが含まれています。

  • LatestDeliveryError。 CloudTrail がバケットにログファイルを配信できない場合に、Amazon S3 によって出力されたエラーが含まれています。

インサイトイベントセレクタの設定

証跡でインサイトイベントを有効にするには、put-insight-selectors を実行し、InsightType 属性の値として ApiCallRateInsight を指定します。証跡のインサイトイベントセレクタの設定を表示するには、get-insight-selectors コマンドを実行します。証跡が作成された AWS リージョン (ホームリージョン) からこのコマンドを実行するか、--region パラメータをコマンドに追加してそのリージョンを指定する必要があります。

例: インサイトイベントを記録する証跡

次の例では、put-insight-selectors を使用して TrailName3 という名前の証跡のインサイトイベントセレクタを作成します。これにより、TrailName3 証跡のインサイトイベントコレクションが有効になります。

aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '{"InsightType": "ApiCallRateInsight"}'

この例では、証跡用に設定されたインサイトイベントセレクタを返します。

{ "InsightSelectors": [ { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }

例: 証跡のインサイトイベントコレクションをオフにする

次の例では、put-insight-selectors を使用して、TrailName3 という名前の証跡のインサイトイベントセレクタを削除します。インサイトセレクタの JSON 文字列をクリアすると、TrailName3 証跡のインサイトイベントコレクションが無効になります。

aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[]'

この例では、証跡用に設定された現在空のインサイトイベントセレクタを返します。

{ "InsightSelectors": [ { "InsightType": "" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }

イベントセレクタの設定

証跡のイベントセレクタの設定を表示するには、get-event-selectors コマンドを実行します。このコマンドを作成された AWS リージョン (ホームリージョン) から実行するか、--region パラメータを使用してそのリージョンを指定する必要があります。

aws cloudtrail get-event-selectors --trail-name TrailName
注記

証跡が組織の証跡であり、お客様が AWS Organizations の組織のメンバーアカウントである場合は、名前だけでなく、その証跡の完全な ARN を提供する必要があります。

次の例は、証跡のイベントセレクタのデフォルト設定を返します。

{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }

イベントセレクタを作成するには、put-event-selectors コマンドを実行します。アカウントでイベントが発生すると、CloudTrail によって証跡の設定が評価されます。イベントが証跡のいずれかのイベントセレクタと一致する場合は、証跡がイベントを処理し、ログに記録します。証跡あたり最大 5 つのイベントセレクタと、証跡あたり最大 250 の データリソースを設定できます。詳細については、「記録のデータイベントのロギング」を参照してください。

例: 特定のイベントセレクタを使用した証跡

次の例では、という名前の証跡のイベントセレクタを作成します。TrailName読み取り専用および書き込み専用の管理イベント、2 つの Amazon S3 バケット/プレフィックスの組み合わせのデータイベント、単一のAWS Lambdaという名前の関数[Hello-world-python関数]

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix","arn:aws:s3:::mybucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'

例では、証跡に対して設定されているイベントセレクタを返します。

{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function" ], "Type": "AWS::Lambda::Function" }, ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }

例: すべての管理イベントとデータイベントを記録する証跡

次の例では、という名前の証跡のイベントセレクタを作成します。TrailNameすべてのイベントを含む、すべてのイベントが含まれます。これには、読み取り専用および書き込み専用の管理イベント、およびすべての Amazon S3 バケットのすべてのデータイベント、AWS Lambda関数と Amazon DynamoDB テーブルをAWSアカウント. この例では、基本的なイベントセレクターを使用しているため、AWS Outpostsまたは Amazon Managed Blockchain JSON-RPC 呼び出しを Ethereum ノードで実行します。これらのリソースのデータイベントをログに記録するには、高度なイベントセレクタを使用する必要があります。詳細については、「アドバンスドイベントセレクタの設定」を参照してください。

注記

証跡が 1 つのリージョンにのみ適用される場合、イベントセレクタのパラメータですべての Amazon S3 バケットと Lambda 関数が指定されていても、そのリージョン内のイベントのみがログに記録されます。イベントセレクタは、証跡が作成されたリージョンにのみ適用されます。

aws cloudtrail put-event-selectors --trail-name TrailName2 --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'

例では、証跡に対して設定されているイベントセレクタを返します。

{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda" ], "Type": "AWS::Lambda::Function" }, { "Values": [ "arn:aws:dynamodb" ], "Type": "AWS::DynamoDB::Table" } ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2" }

例: ログしない証跡AWS Key Management Serviceイベント

次の例では、TrailName という名前の証跡のイベントセレクタを作成し、読み取り専用管理イベントと書き込み専用管理イベントを含めますが、AWS Key Management Service (AWS KMS) イベントを除外します。なぜならAWS KMSイベントは管理イベントとして扱われ、イベントは大量になる場合があるため、管理イベントをキャプチャする証跡が複数ある場合は、CloudTrail の請求に大きな影響を与える可能性があります。この例のユーザーは、1 つを除くすべての証跡から AWS KMS イベントを除外することを選択しました。イベントソースを除外するには、イベントセレクタに ExcludeManagementEventSources を追加し、文字列値でイベントソースを指定します。

管理イベントのログを記録しないように選択した場合は、AWS KMSイベントはログに記録されず、AWS KMSイベントログ設定です。

証跡への AWS KMS イベントの記録を再び開始するには、ExcludeManagementEventSources の値として空の文字列を渡します。

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'

この例では、証跡に対して設定されているイベントセレクタを返します。

{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "kms.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }

AWS KMS イベントの記録を再び開始するには、次のコマンドに示すように ExcludeManagementEventSources の値として空の文字列を渡します。

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'

例: 関連する低容量AWS Key Management Serviceイベント

次の例では、TrailName という名前の証跡のイベントセレクタを作成し、書き込み専用管理イベントと AWS KMS イベントを含めます。なぜならAWS KMSイベントは管理イベントとして扱われ、イベントは大量になる場合があるため、管理イベントをキャプチャする証跡が複数ある場合は、CloudTrail の請求に大きな影響を与える可能性があります。この例のユーザーは、AWS KMS の [書き込み] イベントを含めることを選択しました。このイベントには、DisableDelete、および ScheduleKey が含まれますが、EncryptDecryptGenerateDataKey などの大容量アクションは含まれなくなります (これらは [読み取り] イベントとして扱われます)。

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'

この例では、証跡に対して設定されているイベントセレクタを返します。これにより、AWS KMS イベントを含む書き込み専用の管理イベントがログに記録されます。

{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "WriteOnly" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }

例: Amazon RDS データ API イベントをログに記録しない証跡

次の例では、という名前の証跡のイベントセレクタを作成します。TrailName読み取り専用管理イベントと書き込み専用管理イベントを含めますが、Amazon RDS Data API イベントを除外します。Amazon RDS Data API イベントは管理イベントとして扱われ、イベントは大量になる場合があるため、管理イベントをキャプチャする証跡が複数ある場合は、CloudTrail の請求に大きな影響を与える可能性があります。この例のユーザーは、1 つを除くすべての証跡から Amazon RDS Data API イベントを除外することを選択しました。イベントソースを除外するには、ExcludeManagementEventSourcesイベントセレクタを追加し、文字列値に Amazon RDS Data API イベントソースを指定します。rdsdata.amazonaws.com

管理イベントのログを記録しないことを選択した場合、Amazon RDS Data API イベントは記録されず、イベントログ設定を変更することはできません。

Amazon RDS Data API イベントの記録を再び開始するには、の値として空の文字列を渡します。ExcludeManagementEventSources

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'

この例では、証跡に対して設定されているイベントセレクタを返します。

{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }

Amazon RDS Data API イベントの記録を再び開始するには、の値として空の文字列を渡します。ExcludeManagementEventSources次のコマンドに示すように。

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'

アドバンスドイベントセレクタの設定

基本的なイベントセレクターではなく、高度なイベントセレクターを使用してデータイベントを含めるか除外するには、トレイルの詳細ページで高度なイベントセレクターを使用するかを選択します。高度なイベントセレクターを使用すると、基本的なイベントセレクターよりも多くのリソースタイプでデータイベントをログに記録できます(AWS Outposts、Lambda アクセスポイントの S3 オブジェクトに対する API 呼び出し、Ethereum ノードでの Amazon Managed Blockchain JSON-RPC 呼び出し、S3 Object Lambda アクセスポイントでの API アクティビティ、EBS スナップショットに対する Amazon EBS ダイレクト API は、S3 オブジェクトに加えて、AWS Lambda関数の実行アクティビティ、DynamoDB テーブルなど)。証跡のイベントセレクタの詳細設定を表示するには、get-event-selectorsコマンド。このコマンドを実行するには、AWS証跡が作成されたリージョン (ホームリージョン) か、--regionパラメータ。

aws cloudtrail get-event-selectors --trail-name TrailName
注記

証跡が組織の証跡であり、組織のメンバーアカウントでAWS Organizations証跡の完全な ARN を提供するには、名前だけでなく、証跡の完全な ARN を提供する必要があります。

次の例では、証跡の高度なイベントセレクタのデフォルト設定が返されます。デフォルトでは、証跡に対して高度なイベントセレクタは設定されていません。

{ "AdvancedEventSelectors": [], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }

高度なイベントセレクタを作成するには、put-event-selectorsコマンド。アカウントでデータイベントが発生すると、CloudTrail によって証跡の設定が評価されます。イベントが証跡のいずれかの詳細イベントセレクタと一致する場合、証跡はそのイベントを処理してログに記録します。1 つの証跡に最大 500 の条件を設定できます。これには、証跡上のすべての高度なイベントセレクタに指定されたすべての値が含まれます。詳細については、「記録のデータイベントのロギング」を参照してください。

例: 特定の高度なイベントセレクタを使用した証跡

次の例では、証跡のカスタムアドバンスイベントセレクタを作成します。TrailNameを使用して、読み取りおよび書き込み管理イベントを含めます (readOnlyセレクタ),PutObjectおよびDeleteObjectという名前のバケットを除く、すべての Amazon S3 バケット/プレフィックスの組み合わせのデータイベントsample_bucket_nameと、データイベントAWS Lambdaという名前の関数MyLambdaFunction。これらはカスタム高度なイベントセレクターであるため、セレクターの各セットにはわかりやすい名前があります。末尾のスラッシュは S3 バケットの ARN 値の一部であることに注意してください。

aws cloudtrail put-event-selectors --trail-name TrailName \ --advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotEquals": ["arn:aws:s3:::sample_bucket_name/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] } ] } ]'

この例では、証跡用に設定された高度なイベントセレクタを返します。

{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.ARN", "Equals": [], "StartsWith": [], "EndsWith": [], "NotEquals": [ "arn:aws:s3:::sample_bucket_name/" ], "NotStartsWith": [], "NotEndsWith": [] }, ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "eventName", "Equals": [ "Invoke" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }

例: カスタム詳細イベントセレクタを使用して、すべての管理イベントとデータイベントを記録する証跡

次の例では、証跡のアドバンスイベントセレクタを作成します。TrailNameすべてのイベントを含む。これには、読み取り専用および書き込み専用の管理イベント、および S3 バケット、Lambda 関数、DynamoDB テーブル、S3 オブジェクトレベルの API アクティビティのすべてのデータイベントが含まれます。AWS Outposts、Ethereum ノードでの Amazon Managed Blockchain JSON-RPC 呼び出し、S3 Object Lambda アクセスポイントでの API アクティビティ、AWSアカウント.

注記

証跡が 1 つのリージョンにのみ適用される場合、イベントセレクタのパラメータですべての Amazon S3 バケットと Lambda 関数が指定されていても、そのリージョン内のイベントのみがログに記録されます。単一リージョン証跡では、イベントセレクタは、証跡が作成されたリージョンにのみ適用されます。

aws cloudtrail put-event-selectors --trail-name TrailName2 \ --advanced event-selectors ' [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log all events for all buckets", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] } ] }, { "Name": "Log all events for Lambda functions", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] } ] }, { "Name": "Log all events for DynamoDB tables", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::DynamoDB::Table"] } ] }, { "Name": "Log all events for S3 on Outposts", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] }, { "Name": "Log all JSON-RPC calls for Ethereum nodes in AWS Managed Blockchain", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::ManagedBlockchain::Node"] } }, { "Name": "Log all events for S3 Object Lambda access points", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3ObjectLambda::AccessPoint"] } ] }, { "Name": "Log all Amazon EBS direct API calls on snapshots", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::EC2::Snapshot"] } } ]'

この例では、証跡用に設定された高度なイベントセレクタを返します。

{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] } ] }, { "Name": "Log all events for all buckets", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] } ] }, { "Name": "Log all events for Lambda functions", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] } ] }, { "Name": "Log all events for DynamoDB tables", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.type", "Equals": [ "AWS::DynamoDB::Table" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] } ] }, { "Name": "Log all events for S3 objects on Outposts", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] } ] }, { "Name": "Log all JSON-RPC call events for Ethereum on Managed Blockchain nodes", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.type", "Equals": [ "AWS::ManagedBlockchain::Node" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] } ] }, { "Name": "Log all events for S3 Object Lambda access points", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.type", "Equals": [ "AWS::S3ObjectLambda::AccessPoint" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] } ] }, { "Name": "Log all Amazon EBS direct API calls on snapshots", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.type", "Equals": [ "AWS::EC2::Snapshot" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2" }

例: カスタム高度なイベントセレクターを使用して Amazon S3 をAWS Outpostsデータイベントです。

次の例では、すべての Amazon S3 に対するすべてのデータイベントを含めるように証跡を設定する方法を示します。AWS Outpostsあなたの前哨基地内のオブジェクト。このリリースでは、S3 でサポートされる値AWS Outpostsのイベントをresources.typeフィールドがAWS::S3Outposts::Object

aws cloudtrail put-event-selectors --trail-name TrailName --region region \ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'

このコマンドでは、次のサンプルアウトプットが返されます。

{ "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName" }

例: 高度なイベントセレクターを使用して除外する証跡AWS Key Management Serviceイベント

次の例では、証跡のアドバンスイベントセレクタを作成します。TrailName読み取り専用管理イベントと書き込み専用管理イベントを含めます (readOnlyセレクタ)を使用しますが、AWS Key Management Service(AWS KMS) イベント. なぜならAWS KMSイベントは管理イベントとして扱われ、イベントは大量になる場合があるため、管理イベントをキャプチャする証跡が複数ある場合は、CloudTrail の請求に大きな影響を与える可能性があります。このリリースでは、kms.amazonaws.com からイベントを除外できます。

管理イベントのログを記録しないように選択した場合は、AWS KMSイベントはログに記録されず、AWS KMSイベントログ設定です。

ログ記録を開始するにはAWS KMSイベントを再度トレイルに追加するには、eventSourceセレクタを使用して、コマンドを再度実行します。

aws cloudtrail put-event-selectors --trail-name TrailName \ --advanced event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'

この例では、証跡用に設定された高度なイベントセレクタを返します。

{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "eventSource", "Equals": [], "StartsWith": [], "EndsWith": [], "NotEquals": [ "kms.amazonaws.com" ], "NotStartsWith": [], "NotEndsWith": [] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }

証跡への除外イベントの記録を再び開始するには、eventSource次のコマンドに示すように、セレクタを使用します。

aws cloudtrail put-event-selectors --trail-name TrailName \ --advanced event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'

例: 高度なイベントセレクターを使用して Amazon RDS Data API イベントを除外する証跡

次の例では、証跡のアドバンスイベントセレクタを作成します。TrailName読み取り専用管理イベントと書き込み専用管理イベントを含めます (readOnlyセレクタ) を使用しますが、Amazon RDS データ API イベントを除外します。Amazon RDS Data API イベントは管理イベントとして扱われ、イベントは大量になる場合があるため、管理イベントをキャプチャする証跡が複数ある場合は、CloudTrail の請求に大きな影響を与える可能性があります。Amazon RDS データ API イベントを除外するには、Amazon RDS データ API イベントソースをeventSourcefield:rdsdata.amazonaws.com

管理イベントのログを記録しないことを選択した場合、Amazon RDS データ API イベントは記録されず、Amazon RDS データ API イベントログ設定を変更することはできません。

Amazon RDS Data API イベントのログ記録を再度開始するには、eventSourceセレクタを使用して、コマンドを再度実行します。

aws cloudtrail put-event-selectors --trail-name TrailName \ --advanced event-selectors ' [ { "Name": "Log all management events except Amazon RDS data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'

この例では、証跡用に設定された高度なイベントセレクタを返します。

{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "eventSource", "Equals": [], "StartsWith": [], "EndsWith": [], "NotEquals": [ "rdsdata.amazonaws.com" ], "NotStartsWith": [], "NotEndsWith": [] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }

証跡への除外イベントの記録を再び開始するには、eventSource次のコマンドに示すように、セレクタを使用します。

aws cloudtrail put-event-selectors --trail-name TrailName \ --advanced event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'

証跡のログ記録の停止と開始

次のコマンドは、CloudTrail のログ記録を開始および停止します。

aws cloudtrail start-logging --name awscloudtrail-example
aws cloudtrail stop-logging --name awscloudtrail-example
注記

バケットを削除する前に、stop-logging コマンドを実行してバケットへのイベントの配信を停止します。ログ記録を停止しない場合、CloudTrail は限られた期間、同じ名前のバケットにログファイルを配信しようとします。

ログ記録を停止するか証跡を削除すると、その証跡で CloudTrail インサイトが無効になります。

証跡の削除

次のコマンドを使用して証跡を削除することができます。証跡は、それが作成されたリージョン (ホームリージョン) でのみ削除できます。

aws cloudtrail delete-trail --name awscloudtrail-example

証跡を削除しても、Amazon S3 バケットまたはそれに関連付けられている Amazon SNS トピックは削除されません。AWS Management Console、AWS CLI、またはサービス API を使用して、これらのリソースを個別に削除します。