CloudTrail のコンセプト - AWS CloudTrail

CloudTrail のコンセプト

このセクションでは、CloudTrail に関連する概念について簡単に説明します。

CloudTrail イベントとは

CloudTrail イベントは、AWS アカウントのアクティビティのレコードです。このアクティビティは、CloudTrail によってモニタリングされたユーザー、ロール、またはサービスによって実行されるアクションとすることができます。CloudTrail イベントは、AWS Management Console、AWS SDK、コマンドラインツール、およびその他の AWS のサービスを通じて行われた API アカウントアクティビティおよび API 以外のアカウントアクティビティの両方の履歴を提供します。CloudTrail には、3 種類の記録可能なイベント (管理イベント、データイベント、CloudTrail Insights イベント) があります。デフォルトでは、証跡にはすべての管理イベントが記録されますが、データイベントまたは Insights イベントは記録されません。

すべてのイベントタイプで、CloudTrail JSON ログ形式が使用されます。

注記

CloudTrail はすべて AWS サービスとすべてのイベントをログに記録しません。特定のサービスで記録されている API の詳細情報については、「「CloudTrail がサポートされているサービスと統合」」で該当サービスのドキュメントを参照してください。

管理イベントとは

管理イベントでは、AWS アカウントのリソースで実行される管理オペレーションについての情報が得られます。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。管理イベントには、次のようなものがあります。

  • セキュリティグループの設定 (例: AWS Identity and Access Management AttachRolePolicy API オペレーション)。

  • デバイスの登録 (例: Amazon EC2 CreateDefaultVpc API オペレーション).

  • データをルーティングするルールの設定 (例: Amazon EC2 CreateSubnet API オペレーション).

  • ログ記録の設定 (例: AWS CloudTrail CreateTrail API オペレーション)。

管理イベントは、アカウントで発生する非 API イベントを含む場合もあります。例えば、ユーザーがアカウントにサインインすると、CloudTrail は ConsoleLogin イベントをログに記録します。詳しくは、CloudTrail によってキャプチャされる API 以外のイベント を参照してください。CloudTrail が AWS のサービスについてログに記録する管理イベントの一覧については、「「CloudTrail がサポートされているサービスと統合」」を参照してください。

データイベントとは

データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。以下のデータタイプが返されます。

  • バケットおよびバケット内のオブジェクトの Amazon S3 オブジェクトレベルの API アクティビティ (例: GetObjectDeleteObject、および PutObject API オペレーション)。

  • AWS Lambda 関数の実行アクティビティ (Invoke API)

  • テーブルでの Amazon DynamoDB オブジェクトレベルの API アクティビティ (例: PutItemDeleteItem、および UpdateItem API オペレーション)。

  • Amazon S3 on Outposts オブジェクトレベル API アクティビティ

  • eth_getBalance または eth_getBlockByNumber などの Ethereum ノードでの Amazon Managed Blockchain JSON-RPC コール

  • CompleteMultipartUpload および GetObject へのコールなどの Amazon S3 Object Lambda アクセスポイント API アクティビティ

  • Amazon EBS スナップショットの PutSnapshotBlockGetSnapshotBlock、および ListChangedBlocks などの Amazon Elastic Block Store (EBS) ダイレクト API。

  • アクセスポイントでの Amazon S3 API アクティビティ

  • ストリームでの Amazon DynamoDB API アクティビティ

  • テーブル上の AWS Glue API アクティビティ

証跡の作成時、デフォルトでは、データイベントは記録されません。CloudTrail データイベントを記録するには、アクティビティを収集する、サポート対象のリソースまたはリソースタイプを明示的に証跡に追加する必要があります。詳細については、「証跡の作成」および「データイベント」を参照してください。

データイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金」を参照してください。

Insights イベントとは

CloudTrail Insights イベントは、AWS アカウントの異常な API コールレートまたはエラーレートのアクティビティをキャプチャします。Insights イベントを有効にして、CloudTrail が異常なアクティビティを検出した場合、Insights イベントは証跡の宛先 S3 バケットの異なるフォルダまたはプレフィックスに記録されます。CloudTrail コンソールで Insights イベントを表示すると、インサイトのタイプとインシデント期間も確認できます。Insights イベントは、関連する API、エラーコード、インシデント時間、統計情報などの関連情報を提供し、異常なアクティビティについて理解して対処するのに役立ちます。CloudTrail 追跡でキャプチャされた他のタイプのイベントとは異なり、Insights イベントは CloudTrail がアカウントの API 使用量またはアカウントの通常の使用パターンとは大きく異なるエラーレートのログの変更を検出した場合にだけログ記録されます。Insights イベントを生成する可能性のあるアクティビティの例を次に示します。

  • 通常、アカウントは Amazon S3 deleteBucket API コールを 1 分あたり 20 個までログに記録しますが、アカウントは 1 分あたり平均 100 個の deleteBucket API コールを開始しています。異常なアクティビティの開始時に Insights イベントが記録され、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。

  • 通常、アカウントは Amazon EC2 AuthorizeSecurityGroupIngress API のコールを 1 分あたり 20 個を記録しますが、アカウントは AuthorizeSecurityGroupIngress へのコールをまったく記録し始めていません。異常なアクティビティの開始時に Insights イベントが記録され、10 分後、以上にアクティビティが終了すると、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。

  • 通常は、アカウントで AWS Identity and Access Management API DeleteInstanceProfile に関する AccessDeniedException エラーのログ記録が 7 日間に 1 つもありません。アカウントが DeleteInstanceProfile API コールで 1 分あたり平均 12 AccessDeniedException エラーのログを記録し始めます。異常なエラーレートのアクティビティが発生した時に Insights イベントが記録されますが、この異常アクティビティの終了を示すために別の Insights イベントも記録されます。

これらの例は、説明のみを目的としています。結果はユースケースによって異なる場合があります。

Insights の作成時、デフォルトでは、データイベントは無効になっています。CloudTrail Insights イベントを記録するには、新規または既存の証跡で Insights イベントコレクションを明示的に有効にする必要があります。詳細については、「証跡の作成」および「証跡の Insights イベントの記録」を参照してください。

CloudTrail Insights イベントの記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金」を参照してください。

CloudTrail イベント履歴とは

CloudTrail イベント履歴は、過去 90 日間の CloudTrail イベントの表示、検索、およびダウンロードが可能な記録を提供します。この履歴を使用して、AWS Management Console、AWS SDK、コマンドラインツール、およびその他の AWS のサービスの AWS アカウントで実行されたアクションの可視性を得ることができます。CloudTrail コンソールでイベント履歴の表示をカスタマイズするには、表示する列を選択します。詳しくは、CloudTrail Event 履歴でのイベントの表示 を参照してください。

証跡とは

証跡を作成すると、Amazon S3 バケット、CloudWatch Logs、および CloudWatch Events に対して CloudTrail イベントを継続的に配信する設定です。証跡を使用して、配信する CloudTrail イベントのフィルタリング、AWS KMS キーを使用した CloudTrail イベントログファイルの暗号化、ログファイル配信のための Amazon SNS 通知の設定を行うことができます。証跡の作成と管理の詳細については、「AWS アカウント の証跡の作成」を参照してください。

組織の証跡とは

組織の証跡とは、AWS Organizations 組織内の管理アカウントとすべてのメンバーアカウントの CloudTrail イベントを同じ Amazon S3 バケット、CloudWatch Logs、CloudWatch Events に配信できるようにする設定です。組織の証跡を作成すると、組織のための統一されたイベントログ記録戦略を定義するのに役立ちます。

組織の証跡を作成すると、自分の組織に属するすべての AWS アカウントに、指定した名前の証跡が作成されます。メンバーアカウントで CloudTrail アクセス許可を持つユーザーは、AWS アカウントから AWS CloudTrail コンソールにログインしたとき、または describe-trails などの AWS CLI コマンドを実行したときにこの証跡 (証跡 ARN を含む) を表示することができます (ただし、AWS CLI を使用する場合、メンバーアカウントは名前ではなく、組織の記録に ARN を使用する必要があります)。ただし、メンバーアカウントのユーザーには、組織の証跡の削除、ログ記録のオン/オフの切り替え、記録するイベントの種類の変更、または組織の証跡の変更を行うための十分なアクセス許可がありません。AWS Organizations の詳細については、「Organizations の用語と概念」を参照してください。組織の証跡を作成して作業する方法の詳細については、「組織の証跡の作成」を参照してください。

CloudTrail の管理方法

CloudTrail コンソール

CloudTrail サービスの使用と管理は、AWS CloudTrail コンソールで行えます。コンソールには、次のように多くの CloudTrail タスクを実行するためのユーザーインターフェイスがあります。

  • AWS アカウントの最近のイベントとイベント履歴の表示。

  • イベントの過去 90 日のフィルタリングされたファイルまたは完全なファイルのダウンロード。

  • CloudTrail 証跡の作成と編集。

  • CloudTrail 証跡の設定には以下を含みます。

    • Amazon S3 バケットの選択。

    • プレフィックスの設定。

    • CloudWatch Logs への配信の設定。

    • 暗号化のための AWS KMS キーの使用。

    • ログファイル配信のための Amazon SNS 通知の有効化。

    • 証跡タグを追加および管理します。

2019 年 4 月 12 日以降、証跡は、イベントをログに記録する AWS リージョンでのみ表示することができます。すべての AWS リージョンのイベントをログに記録する証跡を作成すると、すべての AWS リージョンのコンソールに表示されます。単一の AWS リージョン内のイベントのみをログ記録する証跡を作成した場合は、その AWS リージョン内でのみ、それを表示および管理できます。

AWS Management Console の詳細については、「AWS Management Console」を参照してください。

CloudTrail CLI

AWS Command Line Interface は、コマンドラインで CloudTrail を操作できる統合ツールです。詳細については、AWS Command Line Interface ユーザーガイドを参照してください。CloudTrail CLI コマンドの全一覧については、「利用可能なコマンド」を参照してください。

CloudTrail API

コンソールと CLI に加えて、CloudTrail RESTful API も使用できます。API を使用すれば、CloudTrail を直接プログラムすることができます。詳細については、AWS CloudTrail API リファレンスを参照してください。

AWS SDK

CloudTrail API を使用する代わりに、いずれかの AWS SDK を使用することもできます。各 SDK は、各種のプログラミング言語とプラットフォームに対応したライブラリやサンプルコードで構成されています。SDK は、CloudTrail へのアクセス権をプログラムによって作成するのに役立ちます。例えば、SDK では、暗号を使用してリクエストに署名したり、エラーを管理したり、リクエストを自動的に再試行したりできます。詳細については、[Amazon Web Services のツール] ページを参照してください。

証跡タグを使用する理由とは

タグは、CloudTrail 証跡、CloudTrail ログファイルの保存に使用される Amazon S3 バケット、AWS Organizations 組織および組織単位など、AWS リソースに割り当てることができるユーザー定義のキーおよびオプションの値です。証跡と証跡のログファイルを保存するために使用する Amazon S3 バケットに同じタグを追加することで、AWS Resource Groups でこれらのリソースを管理、検索、およびフィルタリングするのが簡単になります。タグ付け戦略を実装して、リソースを一貫して効果的に、そして簡単に検索して管理できます。詳細については、「AWSタグ付け戦略」を参照してください。

CloudTrail へのアクセスを制御する方法

AWS Identity and Access Management は、Amazon Web Services (AWS) のお客様がユーザーとユーザーの許可を管理できるようにするウェブサービスです。IAM を使用すると、AWS CloudTrail にアクセスする必要があるすべての従業員に対して個別のユーザーを作成できます。自分の IAM ユーザーを作成して、それに管理権限を付与すると、その IAM ユーザーを全作業で使用することができます。お客様のアカウントにアクセスする人に対して個別 IAM ユーザーを作成することにより、各 IAM ユーザーに一意のセキュリティ認証情報を設定することができます。さらに、各 IAM ユーザーにそれぞれ異なるアクセス許可を付与することもできます。必要な場合は、いつでも IAM ユーザーのアクセス許可を変更、または無効にすることができます。詳しくは、CloudTrail のユーザーアクセス権限のコントロール を参照してください。

管理イベントとデータイベントをログに記録する方法

デフォルトでは、証跡は AWS アカウントの管理イベントをログに記録し、データイベントは記録しません。データイベントをログ記録するには、証跡を作成または更新します。証跡設定に一致するイベントだけが、Amazon S3 バケットと 任意で Amazon CloudWatch Logs ロググループに配信されます。イベントが証跡の設定と一致しない場合、イベントはログに記録されません。詳しくは、CloudTrail ログファイルの使用 を参照してください。

CloudTrail Insights イベントの記録方法

AWS CloudTrail Insights は、CloudTrail 管理イベントを継続的に分析することで、AWS ユーザーが異常な量の API コールまたはエラーを特定し、それに応答するのに役立ちます。Insights イベントは、異常なレベルの write 管理 API アクティビティ、または管理 API アクティビティで返された異常なレベルのエラーの記録です。Insights イベントの詳細ページには、異常なアクティビティのグラフとしてイベントが示され、異常なアクティビティの開始時間および終了時間と、アクティビティが異常かどうかを判断するために使用されるベースラインが表示されます。デフォルトでは、証跡は CloudTrail Insights イベントを記録しません。コンソールでは、証跡を作成または更新するときに Insights イベントをログに記録するように選択できます。CloudTrail API を使用する場合、PutInsightSelectors API で既存の証跡の設定を編集することで Insights イベントをログに記録できます。CloudTrail Insights イベントの記録には追加料金が適用されます。詳細については、「証跡の Insights イベントの記録」と「AWS CloudTrail 料金表」を参照してください。

CloudTrail でログに記録されたイベントに関して複雑なクエリ実行する方法

CloudTrail Lake では、イベントに対してきめ細かい SQL ベースのクエリを実行することができます。CloudTrail Lake を使用するために、アカウントで証跡を設定しておく必要はありません。イベントデータストアは、高度なイベントセレクターを適用することによって選択する条件に基いたイベントのイミュータブルなコレクションです。イベントデータは、イベントデータストアに最大 7 年間保持できます。将来使用するために Lake クエリを保存することができ、クエリの結果は最大 7 日間表示できます。CloudTrail Lake は、AWS Organizations 内の組織からのイベント、または複数のリージョンとアカウントからのイベントをイベントデータストアに保存することもできます。CloudTrail Lake は、セキュリティ関連の調査とトラブルシューティングを実行するために役立つ監査ソリューションの一部です。詳しくは、AWS CloudTrail Lake の使用 を参照してください。

CloudTrail でモニタリングを実行する方法

CloudWatch Logs、CloudWatch Events、および CloudTrail

Amazon CloudWatch は、メトリクスを収集して追跡し、Amazon Web Services (AWS) リソースと、AWS で実行されているアプリケーションをモニタリングするウェブサービスです。Amazon CloudWatch Logs は、ログデータのモニタリングに使用できる CloudWatch の機能です。CloudTrail を CloudWatch Logs と統合すれば、AWS アカウント内の API アクティビティを含んだイベントを、CloudWatch Logs ロググループに送信できます。CloudWatch Logs に送信された CloudTrail イベントと、ユーザーが定義したにメトリクスフィルタに基づいて、アラームをトリガーすることもできます。CloudWatch アラームでは、メトリックスフィルタによって抽出されたログストリームイベントに基づいて、通知を送信したり、モニタリング対象のリソースに変更を加えるよう設定することもできます。また、CloudWatch Logs を使用して CloudTrail イベントを追跡しながら、オペレーティングシステム、アプリケーション、またはその他の AWS サービスから CloudWatch Logs に送信されたイベントを追跡することもできます。詳しくは、Amazon CloudWatch Logs による CloudTrail ログファイルをモニタリングする を参照してください。

Amazon CloudWatch Events は、AWS リソースの変更を示すシステムイベントをほぼリアルタイムのストリームとして提供する AWS サービスです。CloudWatch Events では、CloudTrail によって記録されたすべてのイベントでトリガーされるルールを作成できます。詳細については、「AWS CloudTrail を使用して AWS API コールでトリガーされる CloudWatch Events ルールの作成」を参照してください。

Insights イベントは CloudWatch と統合されています。証跡でサブスクライブしているイベント (Insights イベントや CloudWatch Events、CloudWatch Logs) を配信できます。CloudWatch コンソールまたは API を使用して CloudWatch Events を設定するには、CloudWatch コンソールの [ルールの作成] ページで AWS Insight via CloudTrail イベントタイプを選択します。

CloudTrail によってログに記録されたデータを CloudWatch Logs または CloudWatch Events に送信するには、少なくとも 1 つの証跡が必要です。証跡の作成方法の詳細については、「証跡の作成」を参照してください。

CloudTrail のリージョン内動作とグローバル動作

証跡は 1 つのリージョンに適用することもできますし、すべてのリージョンに適用することもできます。ベストプラクティスとしては、使用する AWS パーティション内のすべてのリージョンに適用される証跡を作成してください。これは、CloudTrail コンソールで証跡を作成する場合のデフォルトの設定です。

注記

証跡を有効にすることは、証跡を作成し、CloudTrail イベントログファイルの Amazon S3 バケットへの配信を開始することを意味します。CloudTrail コンソールでは、証跡を作成する際にログ記録が自動的に有効になります。

証跡をすべてのリージョンに適用することの利点

すべての AWS リージョンに適用される証跡には、次のような利点があります。

  • 証跡の設定が、すべての AWS リージョンに一貫性を持って適用されます。

  • すべてのリージョンの AWS CloudTrail イベントを、1 つの Amazon S3 バケットで受信できます。またオプションで、CloudWatch Logs ロググループにも配信できます。

  • すべての AWS リージョンの証跡設定を 1 つの場所から管理できます。

  • 新しい AWS リージョンからのイベントをすぐに受信できます。新しい AWS リージョンが起動された場合、CloudTrail は元の証跡と同じ設定を使用して、新しいリージョンにリージョンのすべての証跡のコピーを自動的に作成します。

  • 異常なアクティビティを監視するために、にあまり使用しない証跡を AWS リージョンに作成する必要はありません。すべての AWS リージョンのすべてのアクティビティはすべての AWS リージョンに適用される証跡でログに記録されます。

証跡をすべてのリージョンに適用した場合に起こること

証跡をすべての AWS リージョンに適用した場合、CloudTrail はユーザーが特定のリージョンで作成した証跡を使用して、アカウント内のその他のすべてのリージョンに、同じ設定の証跡を作成します。

その結果、次のことが起こります。

  • CloudTrail は、すべての AWS リージョンのアカウントアクティビティのログファイルを、ユーザーが指定した 1 つの Amazon S3 バケットに配信します。オプションで指定された場合は、CloudWatch Logs ロググループにも配信します。

  • 証跡用の Amazon SNS トピックを設定した場合は、すべての AWS リージョンのログファイル配信に関する SNS 通知が、1 つの SNS トピックに送信されます。

  • ログファイルの整合性検証を有効にした場合は、その証跡のすべての AWS リージョンで有効になります。詳細については、CloudTrail ログファイルの整合性の検証 を参照してください。

1 リージョンに対する複数の証跡

デベロッパー、セキュリティ担当者、IT 監査者など、関連するユーザーグループが複数ある場合は、1 つのリージョンに対して複数の証跡を作成できます。これにより、各グループがログファイルの独自のコピーを受け取れるようになります。

CloudTrail では、リージョンごとに 5 つの証跡がサポートされます。すべての AWS リージョンに適用される証跡は、すべてのリージョンで 1 つの証跡としてカウントされます。

次に示すのは、1 つのリージョンに 5 つの証跡を使用する場合の例です。

  • 米国西部 (北カリフォルニア) リージョンに、そのリージョンだけに適用される証跡を 2 つ作成する。

  • 米国西部 (北カリフォルニア) リージョンに、すべての AWS リージョンに適用される証跡をさらに 2 つ作成する。

  • すべての AWS リージョンに適用されるアジアパシフィック (シドニー) リージョンで、証跡を作成します。この証跡は、米国西部 (北カリフォルニア) リージョンでも証跡として存在します。

証跡は存在する AWS リージョンに表示されます。すべての AWS リージョンのイベントをログに記録する証跡は、すべてのリージョンに表示されます。CloudTrail コンソールの [証跡] ページで、AWS リージョンの証跡のリストを表示できます。詳しくは、証跡の更新 を参照してください。CloudTrail の料金については、「AWS CloudTrail 料金」を参照してください。

AWS Security Token Service および CloudTrail

AWS Security Token Service (AWS STS) は、グローバルエンドポイントを持つとともに、リージョン固有のエンドポイントもサポートしているサービスです。エンドポイントとは、ウェブサービスリクエストのエントリポイントとなる URL のことす。例えば、https://cloudtrail.us-west-2.amazonaws.com は、AWS CloudTrail サービスの米国西部 (オレゴン) リージョンのエントリポイントです。リージョンのエンドポイントは、アプリケーションのレイテンシーを低減するのに役立ちます。

AWS STS のリージョン固有エンドポイントを使用した場合、そのリージョンの証跡は、そのリージョンで発生した AWS STS イベントのみを配信します。たとえば、エンドポイント sts.us-west-2.amazonaws.com を使用している場合、us-west-2 の証跡は、us-west-2 から発生した AWS STS イベントのみを配信します。AWS STS のリージョンエンドポイントの詳細については、IAM ユーザーガイド の「AWS リージョンでの AWS STS のアクティブ化と非アクティブ化」を参照してください。

Amazon S3 の AWS リージョンエンドポイントの完全なリストについては、 AWS 一般リファレンス の「AWS リージョンとエンドポイント」を参照してください。グローバル AWS STS エンドポイントからのイベントの詳細については、「グローバルサービスイベント」を参照してください。

グローバルサービスイベント

重要

2021 年 11 月 22 日、AWS CloudTrail は、証跡を使用してグローバルサービスイベントをキャプチャする方法を変更します。この変更後、CloudFront によって作成されたイベント、IAM、および AWS STS は、それらが作成されたリージョン、米国東部 (バージニア北部) リージョン (us-east-1) に記録されます。これにより、CloudTrail によるこれらのサービスの扱いは他の AWS グローバルサービスの処理と一致します。

米国東部 (バージニア北部) 以外でグローバルサービスイベントを受信するには、米国東部 (バージニア北部) 以外のグローバルサービスイベントを使用するシングルリージョン証跡を、必ずマルチリージョン証跡に変換してください。また、ルックアップイベント API 呼び出しのリージョンを更新して、グローバルサービスイベントを表示します。CLI を使用したグローバルサービスイベントの証跡の更新または作成、およびルックアップイベントの更新の詳細については、CloudTrail イベントを AWS CLI で表示する および update-trail の使用 を参照してください。

ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。AWS Identity and Access Management (IAM)、AWS STS、Amazon CloudFront などのグローバルサービスの場合、イベントはグローバルサービスが含まれている証跡に配信されます。

ほとんどのグローバルサービスの場合、イベントは米国東部 (バージニア北部) リージョンで発生しているものとしてログに記録されますが、一部のグローバルサービスイベントは米国東部 (オハイオ) リージョンや米国西部 (オレゴン) リージョンなどのその他のリージョンで発生しているものとしてログに記録されます。

グローバルサービスイベントを重複して受信しないようにするには、次の点に注意してください。

  • デフォルトでは、グローバルサービスイベントは CloudTrail コンソールを使用して作成された証跡に配信されます。イベントは、その証跡のバケットに配信されます。

  • 単一のリージョンの証跡が複数ある場合は、証跡を設定し、グローバルサービスイベントがそれらの証跡の 1 つのみに配信されるようにすることを検討します。詳しくは、グローバルサービスイベントのログ記録の有効化と無効化 を参照してください。

  • 証跡の設定をすべてのリージョンのログ記録から単一のリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に無効になります。同様に、証跡の設定を単一のリージョンのログ記録からすべてのリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に無効になります。

    証跡に対するグローバルサービスイベントのログ記録の変更の詳細については、「グローバルサービスイベントのログ記録の有効化と無効化」を参照してください。

例:

  1. 証跡は CloudTrail コンソールで作成します。デフォルトでは、この証跡はグローバルサービスイベントをログに記録します。

  2. 単一リージョンの証跡を複数作成したとします。

  3. 単一リージョンの証跡について、グローバルサービスを含める必要はありません。グローバルサービスイベントは、1 つ目の証跡に対して配信されます。詳しくは、AWS Command Line Interface で証跡を作成、更新、管理する を参照してください。

注記

AWS CLI、AWS SDK、または CloudTrail API を使用して証跡を作成または更新する場合は、証跡に対してグローバルサービスイベントを含むか、除外するよう選択できます。CloudTrail コンソールからグローバルサービスイベントのログ記録を設定することはできません。

CloudTrail とその他の AWS モニタリングサービスの関連性

CloudTrail は、AWS ですでに提供されているモニタリング機能に、別のディメンションを追加するものです。すでに使用しているログ記録機能 (Amazon S3 や Amazon CloudFront サブスクリプション用など) を変更したり、それらに取って代わるものではありません。Amazon CloudWatch は、パフォーマンスのモニタリングとシステムの正常性に特化した機能です。CloudTrail は API アクティビティに特化しています。CloudTrail では、システムのパフォーマンスや正常性に関するレポートは提供されませんが、CloudTrail を CloudWatch アラームとともに使用すれば、特定のアクティビティについて通知を受け取ることができます。

パートナーソリューション

ロギングと分析に関するサードパーティースペシャリストのいる AWS パートナーからは、CloudTrail の出力を使用するソリューションが提供されています。詳細については、AWS CloudTrail の CloudTrail の詳細ページにアクセスしてください。