CloudTrail イベントとは何ですか? CloudTrail イベント履歴とは？証跡とは組織の証跡とはどのように管理していますか？ CloudTrail へのアクセスをどのように制御していますか? CloudTrail 管理イベントとデータイベントをログに記録する方法 CloudTrail Insights イベントはどのように記録しますか? CloudTrailログに記録されたイベントに対して複雑なクエリを実行する方法を教えてください。モニタリングはどのように行っていますか？ CloudTrail 地域的にも世界的にもどのように振る舞うのか？ CloudTrail グローバルサービスイベント CloudTrail AWS 他の監視サービスとどのように関連していますか?パートナーソリューション

CloudTrail コンセプト

このセクションでは、に関連する基本概念についてまとめています。 CloudTrail

CloudTrail イベントとは何ですか?

CloudTrail イベントインとは、 AWS アカウント内のアクティビティの記録です。このアクティビティは、IAM ID によって実行されるアクションでも、監視可能なサービスでもかまいません。 CloudTrail CloudTrailイベントは、、 AWS SDK、コマンドラインツール AWS Management Console、その他のサービスを通じて行われた API アカウントアクティビティと非 API アカウントアクティビティの両方の履歴を提供します。 AWS ログインできるイベントには、管理イベント、データイベント、 CloudTrail Insights イベントの 3 種類があります。 CloudTrailデフォルトでは、証跡とイベントデータストアは管理イベントをログ記録しますが、データイベントまたは Insights イベントは記録しません。

すべてのイベントタイプは CloudTrail JSON ログ形式を使用します。

AWS のサービスとの統合について詳しくは CloudTrail、を参照してくださいAWS のサービストピック CloudTrail。

管理イベントとは

管理イベントは、 AWS アカウント内のリソースに対して実行される管理操作に関する情報を提供します。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。

管理イベントには、次のようなものがあります。

セキュリティの設定 ( AWS Identity and Access Management AttachRolePolicyAPI 操作など)。
デバイスの登録 (例: Amazon EC2 CreateDefaultVpc API オペレーション)。
データをルーティングするルールの設定 (例: Amazon EC2 CreateSubnet API オペレーション)。
ロギングの設定 ( AWS CloudTrail CreateTrailAPI 操作など)。

管理イベントは、アカウントで発生する非 API イベントを含む場合もあります。たとえば、ユーザーがアカウントにログインすると、 CloudTrail ConsoleLoginイベントが記録されます。詳細については、「CloudTrail によってキャプチャされる API 以外のイベント」を参照してください。 CloudTrail AWS サービスのログを記録する管理イベントのリストについては、を参照してくださいCloudTrail サポート対象のサービスとインテグレーション。

データイベントとは

データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。

データイベントには、次のようなものがあります。

バケットおよびバケット内オブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例: GetObject、DeleteObject、PutObject API オペレーション)。
AWS Lambda 関数実行アクティビティ (InvokeAPI)。
CloudTrail PutAuditEvents外部からのイベントの記録に使用される CloudTrail Lake チャンネルでのアクティビティ AWS。
トピックに関する Amazon SNS Publish および PublishBatch API オペレーション。

証跡およびイベントデータストアで使用できるデータイベントタイプは、以下の表のとおりです。[データイベントタイプ (コンソール)] 列には、コンソールで有効な選択項目が表示されます。resources.type の値列には、または API resources.type を使用してそのタイプのデータイベントをトレイルまたはイベントデータストアに含めるために指定する値が表示されます。 AWS CLI CloudTrail

証跡の場合、基本または高度イベントセレクタを使用して、Amazon S3 バケットおよびバケットオブジェクト、Lambda 関数、DynamoDB テーブル (表の最初の 3 行に表示) のデータイベントを記録できます。残りの行に表示されるデータイベントタイプをログに記録するには、高度イベントセレクタのみを使用できます。

イベントデータストアの場合、データイベントを含めるには、詳細イベントセレクタのみを使用できます。

AWS サービス	説明	データイベントタイプ (コンソール)	resources.type 値
Amazon DynamoDB	テーブルに対する Amazon DynamoDB オブジェクトレベルの API アクティビティ (、`PutItemDeleteItem`、および `UpdateItem` API オペレーションなど)。注記ストリームが有効になっているテーブルの場合、データイベントの `resources` フィールドには `AWS::DynamoDB::Stream` と `AWS::DynamoDB::Table` の両方が含まれます。`resources.type` に `AWS::DynamoDB::Table` を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベントを除外するには、フィールドにフィルタを追加します。`eventName`	DynamoDB	`AWS::DynamoDB::Table`
AWS Lambda	AWS Lambda 関数実行アクティビティ (`Invoke`API)。	Lambda	`AWS::Lambda::Function`
Amazon S3	バケットおよびバケット内オブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例: `GetObject`、`DeleteObject`、`PutObject` API オペレーション)。	S3	`AWS::S3::Object`
AWS AppConfig	AWS AppConfig`StartConfigurationSession`やの呼び出しなどの設定操作のための API アクティビティ`GetLatestConfiguration`。	AWS AppConfig	`AWS::AppConfig::Configuration`
AWS B2B データ交換	`GetTransformerJob` および `StartTransformerJob` の呼び出しなど、Transformer 操作用の B2B データ交換 API アクティビティ。	B2B データ交換	`AWS::B2BI::Transformer`
Amazon Bedrock	エージェントエイリアスでの Amazon Bedrock API アクティビティ。	Bedrock エージェントエイリアス	`AWS::Bedrock::AgentAlias`
Amazon Bedrock	ナレッジベースでの Amazon Bedrock API アクティビティ。	Bedrock ナレッジベース	`AWS::Bedrock::KnowledgeBase`
Amazon CloudFront	CloudFront での API アクティビティKeyValueStore。	CloudFront KeyValueStore	`AWS::CloudFront::KeyValueStore`
AWS Cloud Map	AWS Cloud Map 名前空間上の API アクティビティ。	AWS Cloud Map 名前空間	`AWS::ServiceDiscovery::Namespace`
AWS Cloud Map	AWS Cloud Map サービス上の API アクティビティ。	AWS Cloud Map service	`AWS::ServiceDiscovery::Service`
AWS CloudTrail	CloudTrail `PutAuditEvents`外部からのイベントの記録に使用される CloudTrail Lake チャネルでのアクティビティ AWS。	CloudTrail	`AWS::CloudTrail::Channel`
Amazon CodeWhisperer	カスタマイズに関する Amazon CodeWhisperer API アクティビティ。	CodeWhisperer カスタマイズ	`AWS::CodeWhisperer::Customization`
Amazon CodeWhisperer	プロファイルに対する Amazon CodeWhisperer API アクティビティ。	CodeWhisperer	`AWS::CodeWhisperer::Profile`
Amazon Cognito	Amazon Cognito アイデンティティプールに対する Amazon Cognito API アクティビティ。	Cognito アイデンティティプール	`AWS::Cognito::IdentityPool`
Amazon DynamoDB	ストリームに対する Amazon DynamoDB API アクティビティ	DynamoDB Streams	`AWS::DynamoDB::Stream`
Amazon Elastic Block Store	Amazon EBS スナップショットの `PutSnapshotBlock`、`GetSnapshotBlock`、および `ListChangedBlocks` などの Amazon Elastic Block Store (EBS) ダイレクト API。	Amazon EBS ダイレクト API	`AWS::EC2::Snapshot`
Amazon EMR	ログ先行書き込みワークスペースでの Amazon EMR API アクティビティ。	EMR ログ先行書き込みワークスペース	`AWS::EMRWAL::Workspace`
Amazon FinSpace	環境に対する Amazon FinSpace API アクティビティ。	FinSpace	`AWS::FinSpace::Environment`
AWS Glue	AWS Glue Lake Formation によって作成されたテーブルに対する API アクティビティ。注記 AWS Glue 現在、テーブルのデータイベントは次の地域でのみサポートされています。米国東部（バージニア北部）米国東部 (オハイオ) 米国西部 (オレゴン) 欧州 (アイルランド) アジアパシフィック (東京) リージョン	Lake Formation	`AWS::Glue::Table`
Amazon GuardDuty	GuardDuty ディテクターの Amazon API アクティビティ。	GuardDuty ディテクター	`AWS::GuardDuty::Detector`
AWS HealthImaging	AWS HealthImaging データストアでの API アクティビティ。	医療用画像データストア	`AWS::MedicalImaging::Datastore`
AWS IoT	AWS IoT 証明書の API アクティビティ。	IoT 証明書	`AWS::IoT::Certificate`
AWS IoT	AWS IoT モノに対する API アクティビティ。	IoT のこと	`AWS::IoT::Thing`
AWS IoT Greengrass Version 2	コンポーネントバージョン上の Greengrass コアデバイスからの Greengrass API アクティビティ。注記 Greengrass はアクセス拒否イベントを記録しません。	IoT Greengrass コンポーネントバージョン	`AWS::GreengrassV2::ComponentVersion`
AWS IoT Greengrass Version 2	デプロイメント上の Greengrass コアデバイスからの Greengrass API アクティビティ。注記 Greengrass はアクセス拒否イベントを記録しません。	IoT Greengrass 導入	`AWS::GreengrassV2::Deployment`
AWS IoT SiteWise	アセットに対する IoT SiteWise API アクティビティ。	IoT SiteWise アセット	`AWS::IoTSiteWise::Asset`
AWS IoT SiteWise	SiteWise 時系列での IoT API アクティビティ。	IoT SiteWise タイムシリーズ	`AWS::IoTSiteWise::TimeSeries`
AWS IoT TwinMaker	エンティティ上の IoT TwinMaker API アクティビティ。	IoT TwinMaker エンティティ	`AWS::IoTTwinMaker::Entity`
AWS IoT TwinMaker	TwinMaker ワークスペースでの IoT API アクティビティ。	IoT TwinMaker ワークスペース	`AWS::IoTTwinMaker::Workspace`
Amazon Kendra インテリジェントランキング	リスコア実行プランに対する Amazon Kendra Intelligent Ranking API アクティビティ。	Kendra ランキング	`AWS::KendraRanking::ExecutionPlan`
Amazon Keyspaces (Apache Cassandra 向け)	テーブルの Amazon Keyspaces API アクティビティ。	カサンドラテーブル	`AWS::Cassandra::Table`
Amazon Kinesis	`GetMedia` や `PutMedia` への呼び出しなど、ビデオストリームでの Amazon Kinesis API アクティビティ。	Kinesis ビデオストリーム	`AWS::KinesisVideo::Stream`
Amazon Managed Blockchain	ネットワーク上の Amazon Managed Blockchain API アクティビティ。	Managed Blockchain ネットワーク	`AWS::ManagedBlockchain::Network`
Amazon Managed Blockchain	`eth_getBalance` や `eth_getBlockByNumber` などの Ethereum ノードに対する Amazon Managed Blockchain JSON-RPC コール。	Managed Blockchain	`AWS::ManagedBlockchain::Node`
Amazon Neptune Graph	Neptune Graph でのクエリ、アルゴリズム、ベクトル検索などのデータ API アクティビティ。	Neptune Graph	`AWS::NeptuneGraph::Graph`
AWS Private CA	AWS Private CA アクティブ・ディレクトリ API アクティビティ用コネクタ。	AWS Private CA アクティブディレクトリ用コネクタ	`AWS::PCAConnectorAD::Connector`
Amazon Q Business	アプリケーション上の Amazon Q Business API アクティビティ。	Amazon Q Business アプリケーション	`AWS::QBusiness::Application`
	データソース上の Amazon Q Business API アクティビティ。	Amazon Q Business データソース	`AWS::QBusiness::DataSource`
	インデックスでの Amazon Q Business API アクティビティ。	Amazon Q Business インデックス	`AWS::QBusiness::Index`
	ウェブエクスペリエンスでの Amazon Q Business API アクティビティ。	Amazon Q Business ウェブエクスペリエンス	`AWS::QBusiness::WebExperience`
Amazon RDS	DB クラスターでの Amazon RDS API アクティビティ。	RDS データ API-DB クラスター	`AWS::RDS::DBCluster`
Amazon S3	アクセスポイントでの Amazon S3 API アクティビティ。	S3 アクセスポイント	`AWS::S3::AccessPoint`
Amazon S3	`CompleteMultipartUpload` および `GetObject` へのコールなどの Amazon S3 Object Lambda アクセスポイント API アクティビティ。	S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`
Amazon S3 on Outposts	Amazon S3 on Outposts オブジェクトレベル API アクティビティ。	S3 Outposts	`AWS::S3Outposts::Object`
Amazon SageMaker	エンドポイントでの Amazon SageMaker `InvokeEndpointWithResponseStream`アクティビティ。	SageMaker エンドポイント	`AWS::SageMaker::Endpoint`
	SageMaker フィーチャストアでの Amazon API アクティビティ。	SageMaker feature store	`AWS::SageMaker::FeatureGroup`
	SageMaker 実験トライアルのコンポーネントでの Amazon API アクティビティ。	SageMaker メトリクス、実験、トライアルコンポーネント。	`AWS::SageMaker::ExperimentTrialComponent`
Amazon SNS	プラットフォームエンドポイントでの Amazon SNS `Publish` API オペレーション。	SNS プラットフォームエンドポイント	`AWS::SNS::PlatformEndpoint`
Amazon SNS	トピックに関する Amazon SNS `Publish` および `PublishBatch` API オペレーション。	SNS トピック	`AWS::SNS::Topic`
Amazon SQS	メッセージでの Amazon SQS API アクティビティ。	SQS	`AWS::SQS::Queue`
AWS Supply Chain	AWS Supply Chain インスタンスの API アクティビティ。	サプライチェーン	`AWS::SCN::Instance`
Amazon SWF	ドメイン上の Amazon SWF API アクティビティ。	SWF ドメイン	`AWS::SWF::Domain`
AWS Systems Manager	コントロールチャネルでのSystems Manager API アクティビティ。	Systems Manager	`AWS::SSMMessages::ControlChannel`
AWS Systems Manager	管理対象ノードでのシステムマネージャ API アクティビティ。	Systems Manager 管理ノード	`AWS::SSM::ManagedNode`
Amazon Timestream	データベース上の Amazon Timestream `Query` API アクティビティ。	Timestream データベース	`AWS::Timestream::Database`
Amazon Timestream	テーブル上の Amazon Timestream `Query` API アクティビティ。	Timestream テーブル	`AWS::Timestream::Table`
Amazon Verified Permissions	ポリシーストア上の Amazon Verified Permissions API アクティビティ。	Amazon Verified Permissions	`AWS::VerifiedPermissions::PolicyStore`
Amazon WorkSpaces シンクライアント	WorkSpaces デバイス上のシンクライアント API アクティビティ。	シンクライアントデバイス	`AWS::ThinClient::Device`
Amazon WorkSpaces シンクライアント	WorkSpaces 環境でのシンクライアント API アクティビティ。	シンクライアント環境	`AWS::ThinClient::Environment`
AWS X-Ray	トレース上の X-Ray API アクティビティ。	X-Ray トレース	`AWS::XRay::Trace`

証跡またはイベントデータストアの作成時、デフォルトでは、データイベントは記録されません。 CloudTrail データイベントを記録するには、アクティビティを収集したいサポート対象リソースまたはリソースタイプを明示的に追加する必要があります。詳細については、証跡の作成および CloudTrailイベント用のイベントデータストアを作成します。を参照してください。

データイベントのログ記録には追加料金が適用されます。料金については、「 CloudTrail AWS CloudTrail 価格設定」を参照してください。

Insights イベントとは

CloudTrail インサイトイベントは、 CloudTrail 管理アクティビティを分析することで、 AWS アカウント内の異常な API コールレートやエラーレートのアクティビティを把握します。Insights イベントは、関連する API、エラーコード、インシデント時間、統計情報などの関連情報を提供し、異常なアクティビティについて理解して対処するのに役立ちます。 CloudTrail トレイルやイベントデータストアにキャプチャされる他の種類のイベントとは異なり、Insights イベントは、アカウントの API 使用量またはエラー率ログに、 CloudTrail アカウントの一般的な使用パターンと大きく異なる変更が検出された場合にのみ記録されます。

Insights イベントを生成する可能性のあるアクティビティの例を次に示します。

通常、アカウントは Amazon S3 deleteBucket API コールを 1 分あたり 20 個までログに記録しますが、アカウントは 1 分あたり平均 100 個の deleteBucket API コールを開始しています。異常なアクティビティの開始時に Insights イベントが記録され、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。
通常、アカウントは Amazon EC2 AuthorizeSecurityGroupIngress API のコールを 1 分あたり 20 個を記録しますが、アカウントは AuthorizeSecurityGroupIngress へのコールをまったく記録し始めていません。異常なアクティビティの開始時に Insights イベントが記録され、10 分後、以上にアクティビティが終了すると、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。
通常は、アカウントで AWS Identity and Access Management API DeleteInstanceProfile に関する AccessDeniedException エラーのログ記録が 7 日間に 1 つもありません。アカウントが DeleteInstanceProfile API コールで 1 分あたり平均 12 AccessDeniedException エラーのログを記録し始めます。異常なエラーレートのアクティビティが発生した時に Insights イベントが記録されますが、この異常アクティビティの終了を示すために別の Insights イベントも記録されます。

これらの例は、説明のみを目的としています。結果はユースケースによって異なる場合があります。

CloudTrail Insights イベントをログに記録するには、新規または既存のトレイルまたはイベントデータストアで Insights イベントを明示的に有効にする必要があります。証跡の作成方法の詳細については、「証跡の作成」を参照してください。イベントデータストアの作成方法の詳細については、「 CloudTrail Insights イベント用のイベントデータストアを作成します。」を参照してください。

Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail の料金」を参照してください。

証跡およびイベントデータストアの Insights イベントはどのように表示しますか?

CloudTrail トレイルとイベントデータストアの両方で Insights イベントをサポートしていますが、Insights イベントの表示方法やアクセス方法にはいくつか違いがあります。

証跡の Insights イベントの表示

トレイルで Insights イベントを有効にしていて、 CloudTrail 異常なアクティビティが検出された場合、Insights イベントはトレイルの送信先 S3 バケット内の別のフォルダーまたはプレフィックスに記録されます。 CloudTrail コンソールで Insights イベントを表示すると、インサイトのタイプとインシデント期間を確認することもできます。詳細については、「CloudTrail コンソールでの証跡の CloudTrail Insights イベントの表示」を参照してください。

イベントデータストアの Insights イベントの表示

CloudTrail Lake で Insights イベントを記録するには、Insights イベントを記録する送信先イベントデータストアと、Insights を有効にして管理イベントをログに記録するソースイベントデータストアが必要です。詳細については、「 CloudTrail Insights イベント用のイベントデータストアを作成します。」を参照してください。

ソースイベントデータストアで CloudTrail Insights を有効にしていて、 CloudTrail異常なアクティビティが検出された場合は、Insights CloudTrail イベントを目的のイベントデータストアに配信します。その後、Insights イベントに関する情報を取得するために宛先のイベントデータストアにクエリを実行したり、オプションとしてクエリ結果を Amazon S3 バケットに保存したりできます。詳細については、クエリを作成または編集するおよびCloudTrail コンソールでのサンプルクエリの表示を参照してください。

CloudTrail Lake ダッシュボードを表示して、送信先イベントデータストア内の Insights イベントを視覚化できます。Lake ダッシュボードの詳細については、「Lake ダッシュボードを表示する」を参照してください。

CloudTrail イベント履歴とは？

CloudTrail イベント履歴では、過去 90 CloudTrail 日間の管理イベントの表示、検索、ダウンロード、変更が不可能な記録がに表示されます。 AWS リージョンこの履歴を利用して、、 AWS SDK AWS Management Console、コマンドラインツール、 AWS その他のサービスでアカウントで行われたアクションを把握できます。 AWS 表示する列を選択することで、 CloudTrail コンソールのイベント履歴の表示をカスタマイズできます。詳細については、「 CloudTrail イベント履歴の操作」を参照してください。

証跡とは

トレイルとは、Amazon S3 バケット、 CloudWatch ログ、および Amazon CloudTrail EventBridge にイベントを配信できるようにする設定です。証跡を使用して、 CloudTrail 配信したいイベントをフィルタリングしたり、 CloudTrail AWS KMS イベントログファイルをキーで暗号化したり、ログファイル配信用の Amazon SNS 通知を設定したりできます。証跡の作成と管理の詳細については、「AWS アカウントの証跡の作成」を参照してください。

組織の証跡とは

組織証跡とは、 CloudTrail AWS Organizations 管理アカウントと組織内のすべてのメンバーアカウントのイベントを同じ Amazon S3 バケット、 CloudWatch Logs、Amazon EventBridge に配信できるようにする設定です。組織の証跡を作成すると、組織のための統一されたイベントログ記録戦略を定義するのに役立ちます。

コンソールを使用して作成されたすべての組織証跡は、AWS リージョン組織内の各メンバーアカウントで有効になっているイベントを記録するマルチリージョン組織証跡です。 AWS 組織内のすべてのパーティションのイベントを記録するには、各パーティションにマルチリージョン組織記録を作成します。を使用して、単一地域または複数地域の組織記録を作成できます。 AWS CLI単一リージョンのトレイルを作成すると、そのトレイル AWS リージョン (ホームリージョンとも呼ばれる) のアクティビティのみが記録されます。

AWS リージョンほとんどのリージョンはデフォルトで有効になっていますが AWS アカウント、特定のリージョン (オプトインリージョンとも呼ばれる) は手動で有効にする必要があります。どのリージョンがデフォルトで有効になっているかについては、『リファレンスガイド』の「リージョンを有効または無効にする前の考慮事項」を参照してください。AWS Account Management CloudTrailリージョンがサポートするリストについては、を参照してください。CloudTrail サポートされているリージョン

組織トレイルを作成すると、指定した名前のトレイルのコピーが、組織に属するメンバーアカウントに作成されます。

組織証跡が単一地域用で、証跡のホーム地域がOPT地域ではない場合、各メンバーアカウントの組織証跡のホーム地域に証跡のコピーが作成されます。
組織証跡が単一地域用で、証跡の本地域がOPT地域の場合、その地域を有効にしたメンバーアカウントの組織証跡のホーム地域に、その証跡のコピーが作成されます。
組織証跡がマルチリージョンで、トレイルのホーム地域がオプトイン地域ではない場合、 AWS リージョン各メンバーアカウントで有効になっているそれぞれにトレイルのコピーが作成されます。メンバーアカウントがオプトインリージョンを有効にすると、そのリージョンの有効化が完了すると、そのメンバーアカウントの新しくオプトインしたリージョンにマルチリージョントレイルのコピーが作成されます。
組織記録がマルチリージョンで、ホームリージョンがオプトインリージョンの場合、メンバーアカウントは、 AWS リージョンマルチリージョントレイルが作成された場所にオプトインしない限り、組織トレイルにアクティビティを送信しません。たとえば、マルチリージョンのトレイルを作成し、トレイルのホームリージョンとしてヨーロッパ (スペイン) リージョンを選択した場合、そのアカウントでヨーロッパ (スペイン) リージョンを有効にしたメンバーアカウントのみが、自分のアカウントアクティビティを組織トレイルに送信します。

注記

CloudTrail リソースの検証に失敗した場合でも、メンバーアカウントに組織証跡を作成します。検証失敗の例には以下が含まれます。

Amazon S3 バケットポリシーが間違っている
Amazon SNS トピックポリシーが間違っている
CloudWatch Logs ロググループに配信できない
KMS キーを使用して暗号化するには権限が不十分です。

CloudTrail 権限を持つメンバーアカウントは、 CloudTrail コンソールのトレイルの詳細ページを表示するか、コマンドを実行することで、組織トレイルの検証エラーを確認できます。 AWS CLI get-trail-status

CloudTrail メンバーアカウントの権限を持つユーザーは、 AWS CloudTrail AWS 自分のアカウントからコンソールにログインしたり、 AWS CLI などのコマンドを実行したりするときに、組織証跡 (証跡 ARN を含む) を表示できます describe-trails (ただし、メンバーアカウントでは、組織証跡には名前ではなく ARN を使用する必要があります)。 AWS CLIただし、メンバーアカウントのユーザーには、組織記録の削除、ログのオン/オフ、記録するイベントの種類の変更、その他の方法で組織記録を変更するための十分な権限がありません。 AWS Organizationsの詳細については、「Organizations の用語と概念」を参照してください。組織の証跡を作成して作業する方法の詳細については、「組織の証跡の作成」を参照してください。

どのように管理していますか？ CloudTrail

CloudTrail コンソール

AWS CloudTrail このサービスはコンソールで使用、管理できます。コンソールには、 CloudTrail 次のような多くのタスクを実行するためのユーザーインターフェイスがあります。

AWS アカウントの最近のイベントとイベント履歴を表示する。
管理イベントの過去 90 日のフィルタリングされたファイルまたは完全なファイルのダウンロード。
CloudTrail トレイルの作成と編集。
CloudTrail Lake イベントデータストアの作成と編集。
イベントデータストアでのクエリの実行。
CloudTrail 以下を含むトレイルの設定:
- 証跡用の Amazon S3 バケットの選択｡
- プレフィックスの設定。
- CloudWatch Logs への配信の設定。
- AWS KMS キーを使用してトレイルデータを暗号化する。
- ログファイル配信用の Amazon SNS 通知の証跡での有効化。
- 証跡タグを追加および管理します。
以下を含む CloudTrail Lake イベントデータストアの設定：
- CloudTrail イベントデータストアをパートナーや自社アプリケーションと統合して、外部ソースからのイベントをログに記録する。 AWS
- AWS KMS キーを使用してイベントデータストアデータを暗号化する。
- イベントデータストアでのタグの追加および管理。

2019 年 4 月 12 日以降、 AWS トレイルはイベントを記録した地域でのみ閲覧可能になりました。すべてのリージョンのイベントを記録するトレイルを作成すると、 AWS すべてのリージョンのコンソールに表示されます。 AWS 1 AWS つのリージョンのイベントのみを記録するトレイルを作成した場合、 AWS そのリージョンのみで表示および管理できます。

の詳細については AWS Management Console、「」を参照してくださいAWS Management Console。

CloudTrail CLI

AWS Command Line Interface は、 CloudTrail コマンドラインから操作できる統合ツールです。詳細については、『AWS Command Line Interface ユーザーガイド』を参照してください。 CloudTrail CLI コマンドの完全なリストについては、「使用可能なコマンド」を参照してください。

CloudTrail API

コンソールと CLI に加えて、 CloudTrail RESTful API CloudTrail を使用して直接プログラミングすることもできます。詳細については、「 APIリファレンスAWS CloudTrail」を参照してください。

AWS SDK

CloudTrail API を使用する代わりに、いずれかの AWS SDK を使用することもできます。各 SDK は、各種のプログラミング言語とプラットフォームに対応したライブラリやサンプルコードで構成されています。SDK を使用すると、へのプログラムによるアクセスを簡単に作成できます。 CloudTrail例えば、SDK では、暗号を使用してリクエストに署名したり、エラーを管理したり、リクエストを自動的に再試行したりできます。詳細については、Amazon Web Services のツールページを参照してください。

リソースにタグを使う理由 CloudTrail

タグは顧客定義のキーであり、オプションの値であり、 CloudTrail 証跡、イベントデータストア、チャネル、 CloudTrail ログファイルの保存に使用される Amazon S3 バケット、 AWS Organizations 組織と組織単位、 AWS その他多くのリソースに割り当てることができます。証跡と証跡のログファイルを保存するために使用する Amazon S3 バケットに同じタグを追加することで、AWS Resource Groups でこれらのリソースを管理、検索、およびフィルタリングするのが簡単になります。タグ付け戦略を実装して、リソースを一貫して効果的に、そして簡単に検索して管理できます。詳細については、「AWS タグ付け戦略」を参照してください。

へのアクセスをどのように制御していますか? CloudTrail

AWS Identity and Access Management は、Amazon Web Services (AWS) AWS のお客様がリソースへのアクセスを安全に制御できるようにするウェブサービスです。IAM を使用すると、 CloudTrail ユーザーがアクセスできるリソースを制御するアクセス権限を一元管理できます。ユーザーアクセス許可の制御については、「CloudTrail の証跡へのユーザーアクセス権限の制御」を参照してください。

管理イベントとデータイベントをログに記録する方法

デフォルトでは、 AWS 追跡はアカウントの管理イベントをログに記録し、データイベントは記録しません。データイベントをログ記録するには、証跡を作成または更新します。トレイル設定に一致するイベントのみが Amazon S3 バケットに配信され、オプションで Amazon CloudWatch Logs ロググループにも配信されます。イベントが証跡の設定と一致しない場合、イベントはログに記録されません。詳細については、「CloudTrail ログファイルの使用」を参照してください。

CloudTrail Insights イベントはどのように記録しますか?

AWS CloudTrail Insights は、 CloudTrail 管理イベントを継続的に分析することで、異常な量の API 呼び出しや API AWS 呼び出しで記録されたエラーをユーザーが特定して対応できるように支援します。Insights イベントは、異常なレベルの write 管理 API アクティビティ、または管理 API アクティビティで返された異常なレベルのエラーの記録です。デフォルトでは、トレイルとイベントデータストアは CloudTrail Insights イベントを記録しません。コンソールでは、証跡あるいはイベントデータストアを作成または更新する際に Insights イベントがログ記録されるように選択できます。API を使用する場合、 CloudTrail API を使用して既存のトレイルまたはイベントデータストアの設定を編集することで Insights イベントをログに記録できます。PutInsightSelectors CloudTrail Insights イベントのロギングには追加料金がかかります。詳細については、「Insights イベントのログ記録」と「AWS CloudTrail 料金表」を参照してください。

CloudTrailログに記録されたイベントに対して複雑なクエリを実行する方法を教えてください。

CloudTrail Lake では、イベントに対してきめ細かい SQL ベースのクエリを実行したり、自社のアプリケーションやと連携しているパートナーなど AWS、外部のソースからのイベントをログに記録したりできます。 CloudTrailLake を使用するために、アカウントにトレイルを設定する必要はありません。 CloudTrail イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基いたイベントのイミュータブルなコレクションです。イベントデータをイベントデータストアに保存できる期間は、[1 年間の延長可能な保存料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保存料金] オプションを選択した場合は最大 2,557 日 (約 7 年間) です。将来使用するために Lake クエリを保存することができ、クエリの結果は最大 7 日間表示できます。クエリ結果を Amazon シンプルストレージサービスのバケットに保存することもできます。 CloudTrail Lake AWS Organizations では、組織のイベントをイベントデータストアに保存したり、複数のリージョンやアカウントからのイベントを保存したりすることもできます。 CloudTrail Lake はセキュリティ調査やトラブルシューティングを支援する監査ソリューションの一部です。詳細については、「AWS CloudTrail レイクとの協力」を参照してください。

モニタリングはどのように行っていますか？ CloudTrail

CloudWatch ログ、 EventBridge、および CloudTrail

Amazon CloudWatch は、メトリクスを収集して追跡し、Amazon Web Services (AWS) のリソースと実行中のアプリケーションを監視するウェブサービスです。 AWS Amazon CloudWatch Logs は、 CloudWatch 特にログデータを監視するために使用できる機能です。 CloudWatch Logs CloudTrail との統合により、 AWS アカウント内の API CloudWatch アクティビティを含むイベントをログロググループに送信できます。 CloudTrail CloudWatch Logs に送信されるイベントは、定義したメトリックスフィルターに従ってアラームをトリガーできます。オプションで、メトリックスフィルターが抽出したログストリームイベントに基づいて通知を送信したり、 CloudWatch 監視対象のリソースに変更を加えたりするアラームを設定できます。 CloudWatch ログを使用すると、オペレーティングシステム、アプリケーション、 CloudTrail AWS CloudWatch またはログに送信されるその他のサービスからのイベントと並行してイベントを追跡することもできます。詳細については、「Amazon CloudWatch Logs による CloudTrail ログファイルをモニタリングする」を参照してください。

Amazon EventBridge は、 AWS AWS リソースの変化を説明するシステムイベントのストリームをほぼリアルタイムで配信するサービスです。では EventBridge、によって記録されたイベントに対応するルールを作成できます CloudTrail。詳細については、「Amazon でルールを作成する」を参照してください EventBridge。

EventBridge登録しているイベントをトレイルに配信できます。 EventBridge コンソールでルールを作成するときは、AWS API Call via CloudTrail CloudTrail データおよび管理イベントを配信する詳細タイプを、AWS Insight via CloudTrailインサイトイベントを配信する詳細タイプを選択します。

ディテールタイプの値が AWS API Call via CloudTrail であるイベントを記録するには、管理イベントまたはデータイベントのログ記録を行うアクティブな証跡が必要になります。証跡の作成方法に関する詳細については、「証跡の作成」を参照してください。

ディテールタイプの値が AWS Insight via CloudTrail であるイベントを記録するには、Insights イベントのログ記録を行うアクティブな証跡が必要になります。Insights イベントのログ記録に関する詳細は、「Insights イベントのログ記録」を参照してください。

地域的にも世界的にもどのように振る舞うのか？ CloudTrail

証跡は 1 つのリージョンに適用することもできますし、すべてのリージョンに適用することもできます。ベストプラクティスとしては、使用する AWS パーティション内のすべてのリージョンに適用される証跡を作成してください。これはコンソールで証跡を作成するときのデフォルト設定です。 CloudTrail

注記

証跡を有効にすると、証跡を作成し、Amazon S3 CloudTrail バケットへのイベントログファイルの配信を開始することになります。 CloudTrail コンソールでは、証跡を作成すると自動的にログ記録が有効になります。

証跡をすべてのリージョンに適用することの利点

AWS すべての地域に適用される証跡には以下の利点があります。

証跡の設定が、すべての AWS リージョンに一貫性を持って適用されます。
CloudTrail AWS すべてのリージョンのイベントを 1 つの Amazon S3 バケットで受信し、 CloudWatch オプションでログロググループでも受信します。
AWS すべてのリージョンのトレイル設定を 1 か所で管理できます。
AWS 新しいリージョンからすぐにイベントを受信できます。 AWS 新しいリージョンが開設されると、元のトレイルと同じ設定で、 CloudTrail 新しいリージョンのすべてのリージョントレイルのコピーが自動的に作成されます。
異常なアクティビティを監視するために、 AWS あまり使用しないリージョンにトレイルを作成する必要はありません。どのリージョンのアクティビティも、 AWS AWS すべてのリージョンに適用されるトレイルに記録されます。

証跡をすべてのリージョンに適用した場合に起こること

AWS すべてのリージョンに証跡を適用すると、 CloudTrail 特定のリージョンで作成した証跡を使用して、AWS 作業中のパーティション内の他のすべてのリージョンでも同じ構成の証跡が作成されます。

その結果、次のことが起こります。

CloudTrail AWS すべてのリージョンのアカウントアクティビティのログファイルを、指定した 1 つの Amazon S3 バケットに配信します。オプションで、 CloudWatch ログロググループにも配信します。
トレイル用に Amazon SNS トピックを設定した場合、 AWS すべてのリージョンでのログファイル配信に関する SNS 通知は、その 1 つの SNS トピックに送信されます。
有効にすると、すべてのリージョンでトレイルのログファイルの整合性検証が有効になります。 AWS 詳細については、CloudTrail ログファイルの整合性の検証を参照してください。

トレイルがマルチリージョンかシングルリージョンかに関係なく、Amazon EventBridge に送信されたイベントは 1 つのイベントバスではなく、各リージョンのイベントバスで受信されます。

1 リージョンに対する複数の証跡

デベロッパー、セキュリティ担当者、IT 監査者など、関連するユーザーグループが複数ある場合は、1 つのリージョンに対して複数の証跡を作成できます。これにより、各グループがログファイルの独自のコピーを受け取れるようになります。

CloudTrail 1 リージョンにつき 5 つのトレイルをサポートします。 AWS すべての地域に適用される証跡は、各地域で 1 つの証跡としてカウントされます。

次に示すのは、1 つのリージョンに 5 つの証跡を使用する場合の例です。

米国西部 (北カリフォルニア) リージョンに、そのリージョンだけに適用される証跡を 2 つ作成する。
米国西部 (北カリフォルニア) リージョンに、すべての AWS リージョンに適用される証跡をさらに 2 つ作成する。
すべての AWS リージョンに適用されるアジアパシフィック (シドニー) リージョンで、証跡を作成します。この証跡は、米国西部 (北カリフォルニア) リージョンでも証跡として存在します。

トレイルは、 AWS そのトレイルが存在するリージョンに表示されます。すべての AWS リージョンのイベントをログに記録する証跡は、すべてのリージョンに表示されます。コンソールのトレイルページでは、 AWS リージョン内のトレイルのリストを表示できます。 CloudTrail 詳細については、「証跡の更新」を参照してください。 CloudTrail 料金については、「料金表」を参照してくださいAWS CloudTrail 。

AWS Security Token Service と CloudTrail

AWS Security Token Service (AWS STS) はグローバルエンドポイントを持つサービスで、リージョン固有のエンドポイントもサポートします。エンドポイントとは、ウェブサービスリクエストのエントリポイントとなる URL のことす。たとえば、https://cloudtrail.us-west-2.amazonaws.comはサービスの米国西部 (オレゴン) 地域のエントリポイントです。 AWS CloudTrail リージョンのエンドポイントは、アプリケーションのレイテンシーを低減するのに役立ちます。

AWS STS リージョン固有のエンドポイントを使用すると、 AWS STS そのリージョンのトレイルはそのリージョンで発生したイベントのみを配信します。たとえば、sts.us-west-2.amazonaws.comエンドポイントを使用している場合、us-west-2 のトレイルは us-west-2 AWS STS から発生したイベントのみを配信します。リージョンのエンドポイントの詳細については、『IAM ユーザーガイド』の「 AWS STS リージョンでのアクティベーションとアクティベーション解除 AWS STS」を参照してください。 AWS

リージョンのエンドポイントの完全なリストについては、の「 AWS リージョンとエンドポイント」を参照してくださいAWS 。AWS 全般のリファレンスグローバル AWS STS エンドポイントからのイベントの詳細については、「グローバルサービスイベント」を参照してください。

グローバルサービスイベント

重要

2021 年 11 月 22 日より、 AWS CloudTrail トレイルがグローバルサービスイベントをキャプチャする方法が変更されました。現在、Amazon AWS STS によって作成されたイベントは CloudFront AWS Identity and Access Management、イベントが作成されたリージョン、つまり米国東部 (バージニア北部) リージョン、us-east-1 で記録されます。これにより、 CloudTrail これらのサービスの扱い方が他のグローバルサービスの処理方法と一致するようになっています。 AWS 米国東部 (バージニア北部) 以外でグローバルサービスイベントを受信するには、米国東部 (バージニア北部) 以外のグローバルサービスイベントを使用するシングルリージョン証跡を、必ずマルチリージョン証跡に変換してください。グローバルサービスイベントのキャプチャの詳細については、このセクション後半のグローバルサービスイベントのログ記録の有効化と無効化を参照してください。

これとは対照的に、 CloudTrail aws cloudtrail lookup-eventsコンソールとコマンドのイベント履歴には、 AWS リージョンこれらのイベントが発生した場所が表示されます。

ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。 AWS Identity and Access Management (IAM) や Amazon AWS STSなどのグローバルサービスの場合 CloudFront、イベントはグローバルサービスを含むすべてのトレイルに配信されます。

ほとんどのグローバルサービスの場合、イベントは米国東部 (バージニア北部) リージョンで発生しているものとしてログに記録されますが、一部のグローバルサービスイベントは米国東部 (オハイオ) リージョンや米国西部 (オレゴン) リージョンなどのその他のリージョンで発生しているものとしてログに記録されます。

グローバルサービスイベントを重複して受信しないようにするには、次の点に注意してください。

グローバルサービスイベントは、コンソールを使用して作成されたトレイルにデフォルトで配信されます。 CloudTrail イベントは、その証跡のバケットに配信されます。
単一のリージョンの証跡が複数ある場合は、証跡を設定し、グローバルサービスイベントがそれらの証跡の 1 つのみに配信されるようにすることを検討してください。詳しくは、グローバルサービスイベントのログ記録の有効化と無効化を参照してください。
証跡の設定をすべてのリージョンのログ記録から単一のリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に無効になります。同様に、証跡の設定を単一のリージョンのログ記録からすべてのリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に有効になります。

証跡に対するグローバルサービスイベントのログ記録の変更の詳細については、「グローバルサービスイベントのログ記録の有効化と無効化」を参照してください。

例:

CloudTrail トレイルはコンソールで作成します。デフォルトでは、この証跡はグローバルサービスイベントをログに記録します。
単一リージョンの証跡を複数作成したとします。
単一リージョンの証跡について、グローバルサービスを含める必要はありません。グローバルサービスイベントは、1 つ目の証跡に対して配信されます。詳細については、「による証跡の作成、更新、管理 AWS Command Line Interface」を参照してください。

注記

AWS CLI、 AWS SDK、または CloudTrail API を使用して証跡を作成または更新する場合、証跡のグローバルサービスイベントを含めるか除外するかを指定できます。グローバルサービスイベントロギングはコンソールからは設定できません。 CloudTrail

CloudTrail AWS 他の監視サービスとどのように関連していますか?

CloudTrail が既に提供している監視機能に、 AWS新たな側面が加わります。Amazon S3 や Amazon CloudFront サブスクリプションなど、すでに使用しているロギング機能を変更したり、置き換えたりすることはありません。Amazon CloudWatch はパフォーマンスモニタリングとシステムヘルスに重点を置いています。 CloudTrail API アクティビティに重点を置いています。 CloudTrail システムのパフォーマンスや状態については報告しませんが、 CloudTrail CloudWatch アラームとともに使用して、関心のあるアクティビティについて通知することができます。

パートナーソリューション

AWS ロギングと分析を専門とするサードパーティーのスペシャリストと提携して、 CloudTrail アウトプットを活用したソリューションを提供しています。詳細については、 CloudTrail の詳細ページをご覧くださいAWS CloudTrail。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ワークフロー

サポートされるリージョン