CloudTrail の概念 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail の概念

このセクションでは、CloudTrail に関連する概念について簡単に説明します。

CloudTrail イベントとは何ですか?

CloudTrail のイベントは、[] の [アクティビティのレコードです。AWSアカウント. このアクティビティは、CloudTrail によってモニタリングされたユーザー、ロール、またはサービスによって実行されるアクションとすることができます。CloudTrail イベントは、API アカウントアクティビティおよび API 以外のアカウントアクティビティの両方の履歴を提供します。AWS Management Console,AWSSDK、コマンドラインツール、その他AWSのサービス。CloudTrail には、3 種類の記録可能なイベント (管理イベント、データイベント、および CloudTrail インサイトイベント) があります。デフォルトでは、証跡は管理イベントを記録しますが、データイベントやインサイトイベントは記録しません。

すべてのイベントタイプで、同じ CloudTrail JSON ログ形式が使用されます。

注記

CloudTrail は、すべてを記録しているわけではありません。AWSサービスとすべてのイベント。特定のサービスで記録されている API の詳細情報については、『』の「」で該当サービスのドキュメントを参照してください。CloudTrail のサポート対象サービスと統合

管理イベントとは何ですか?

管理イベントでは、AWS アカウントのリソースで実行される管理オペレーションについての情報が得られます。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。管理イベントには、次のようなものがあります。

  • セキュリティの設定 (例:IAMAttachRolePolicyAPI オペレーション)。

  • デバイスの登録 (例:Amazon EC2CreateDefaultVpcAPI オペレーション)。

  • データをルーティングするルールの設定 (例:Amazon EC2CreateSubnetAPI オペレーション)。

  • ログ記録の設定 (例: AWS CloudTrail CreateTrail API オペレーション)。

管理イベントは、アカウントで発生する非 API イベントを含む場合もあります。たとえば、ユーザーがアカウントにサインインすると、CloudTrail はConsoleLoginevent. 詳細については、「CloudTrail によってキャプチャされる API 以外のイベント」を参照してください。CloudTrail が記録する管理イベントの一覧については、AWSサービスの詳細については、」CloudTrail のサポート対象サービスと統合

データイベントとは

データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。以下のデータ型が記録されます。

  • Amazon S3 オブジェクトレベルの API アクティビティ (例:GetObject,DeleteObject, およびPutObjectAPI オペレーション)。

  • AWS Lambda 関数の実行アクティビティ (Invoke API)。

  • テーブルに対する Amazon DynamoDB オブジェクトレベルの API アクティビティ (例:PutItem,DeleteItem, およびUpdateItemAPI オペレーション)。

  • での Amazon S3 オブジェクトレベルの API アクティビティAWS Outposts。

  • Amazon Managed Blockchain JSON-RPC は Ethereum ノードでの呼び出し (eth_getBalanceまたはeth_getBlockByNumber

  • S3 Object Lambda アクセスポイントでの API アクティビティ(CompleteMultipartUploadおよびGetObject

  • Amazon Elastic Block Store (EBS) ダイレクト API (例:PutSnapshotBlock,GetSnapshotBlock, およびListChangedBlocksを Amazon EBS スナップショットに保存します。

証跡の作成時、デフォルトでは、データイベントは記録されません。CloudTrail データイベントを記録するには、証跡にアクティビティを収集する、サポート対象のリソースまたはリソースタイプを明示的に追加する必要があります。詳細については、「証跡の作成」および「データイベント」を参照してください。

データイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「」を参照してください。AWS CloudTrail料金

インサイトイベントとは

CloudTrail インサイトイベントは、AWSアカウント. インサイトイベントを有効にして、CloudTrail が異常なアクティビティを検出した場合、インサイトイベントは証跡の宛先 S3 バケット内の別のフォルダまたはプレフィックスに記録されます。CloudTrail コンソールでインサイトイベントを表示すると、インサイトのタイプとインシデント期間も確認できます。インサイトイベントでは、関連する API、インシデント時間、統計情報などの関連情報を提供し、異常なアクティビティについて理解して対処できるようにします。CloudTrail 証跡でキャプチャされた他のタイプのイベントとは異なり、インサイトイベントはログに記録されますが、アカウントの API 使用状況の変化が、アカウントの典型的な使用パターンと大きく異なることをCloudTrail が検出した場合にだけログに記録されます。インサイトイベントを生成する可能性のあるアクティビティの例を次に示します。

  • 通常、アカウントは Amazon S3 を 20 以下で記録します。deleteBucket1 分あたり API コールがありますが、アカウントは平均 100 を記録し始めています。deleteBucket1 分あたりの API コール数。異常なアクティビティの開始時にインサイトイベントが記録され、異常なアクティビティの終了を示すために別のインサイトイベントが記録されます。

  • 通常、アカウントは Amazon EC2 のコールを 1 分あたり 20 個を記録します。AuthorizeSecurityGroupIngressAPI を使用しますが、アカウントはのコールをまったく記録し始めていません。AuthorizeSecurityGroupIngress。異常なアクティビティの開始時にインサイトイベントが記録され、10 分後、以上にアクティビティが終了すると、異常なアクティビティの終了を示すために別のインサイトイベントが記録されます。

これらの例は、説明のみを目的としています。結果はユースケースによって異なる場合があります。

証跡の作成時、デフォルトでは、インサイトイベントは無効になっています。CloudTrail インサイトイベントを記録するには、新規または既存の証跡でインサイトイベントコレクションを明示的に有効にする必要があります。詳細については、「証跡の作成」および「証跡のインサイトイベントの記録」を参照してください。

CloudTrail インサイトイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「」を参照してください。AWS CloudTrail料金

CloudTrail イベント履歴とは何ですか?

CloudTrail イベント履歴は、過去 90 日間の CloudTrail イベントの表示、検索、およびダウンロードが可能な記録を提供します。この履歴を使用して、AWS Management Console、AWS SDK、コマンドラインツール、およびその他の AWS のサービスの AWS アカウントで実行されたアクションの可視性を得ることができます。CloudTrail コンソールでイベント履歴の表示をカスタマイズするには、表示する列を選択します。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

トレイルとは何ですか?

証跡とは、Amazon S3 バケット、CloudWatch Logs、および CloudWatch Events に対して CloudTrail イベントを送信できるようにする設定です。証跡を使用して、配信する CloudTrail イベントのフィルタリング、およびAWS KMSキーと、ログファイル配信のための Amazon SNS 通知を設定します。証跡の作成と管理の詳細については、「[] の証跡を作成します。AWSアカウント」を参照してください。

組織証跡とは何ですか?

組織の証跡とは、管理アカウントと、すべてのメンバーアカウントの CloudTrail イベントの配信を可能にする設定です。AWS Organizations組織を、同じ Amazon S3 バケット、CloudWatch Logs、および CloudWatch Events に配信できます。組織の証跡を作成すると、組織のための統一されたイベントログ記録戦略を定義するのに役立ちます。

組織の証跡を作成すると、自分の組織に属するすべての AWS アカウントに、指定した名前の証跡が作成されます。メンバーアカウントで CloudTrail アクセス許可を持つユーザーは、ユーザーがAWS CloudTrailコンソールからAWSアカウント、またはAWS CLIなどのコマンドdescribe-trails(ただし、メンバーアカウントでは、名前ではなく、組織証跡に ARN を使用する必要があります)。AWS CLI). ただし、メンバーアカウントのユーザーには、組織の証跡の削除、ログ記録のオン/オフの切り替え、記録するイベントの種類の変更、または組織の証跡の変更を行うための十分なアクセス許可がありません。の詳細AWS Organizationsについては、を参照してください。Organizations 用語と概念。組織の証跡を作成して作業する方法の詳細については、「組織の証跡の作成」を参照してください。

CloudTrail を管理するには、どうすればよいでしょうか?

CloudTrail コンソール

CloudTrail サービスを使用および管理するには、AWSCloudTrail コンソール。コンソールには、次のように多くの CloudTrail タスクを実行するためのユーザーインターフェイスがあります。

  • AWS アカウントの最近のイベントとイベント履歴の表示。

  • イベントの過去 90 日のフィルタリングされたファイルまたは完全なファイルのダウンロード。

  • CloudTrail の作成と編集。

  • CloudTrail の設定。以下を含みます。

    • Amazon S3 バケットを選択する。

    • プレフィックスの設定。

    • CloudWatch Logs への配信の設定。

    • 暗号化のための AWS KMS キーの使用。

    • ログファイル配信のための Amazon SNS 通知の有効化。

    • 証跡タグを追加および管理します。

2019 年 4 月 12 日以降、証跡は、イベントをログに記録する AWS リージョンでのみ表示することができます。すべてのイベントを記録する証跡を作成した場合AWSリージョンは、すべてのコンソールに表示されます。AWSリージョン。イベントのみをログに記録する証跡を、1 つのAWSリージョンは、そのリージョンでのみ表示および管理することができます。AWSリージョン。

AWS Management Console の詳細については、「AWS Management Console」を参照してください。

CloudTrail CLI

-AWS Command Line Interfaceは、CloudTrail を操作するためにコマンドラインから使用できる統合ツールです。詳細については、AWS Command Line Interface ユーザーガイドを参照してください。CloudTrail CLI コマンドの詳細なリストについては、「」を参照してください。使用できるコマンド

CloudTrail API

コンソールと CLI に加えて、CloudTrail RESTful API も使用できます。API を使用すれば、CloudTrail を直接プログラムすることができます。詳細については、「AWS CloudTrail API リファレンス」を参照してください。

AWS SDK

CloudTrail API を使用する代わりに、いずれかのAWSSDK。各 SDK は、各種のプログラミング言語とプラットフォームに対応したライブラリやサンプルコードで構成されています。SDK は、CloudTrail へのプログラムによるアクセス権限を作成する際に便利です。たとえば、SDK では、暗号を使用してリクエストに署名したり、エラーを管理したり、リクエストを自動的に再試行したりできます。詳細については、「」を参照してください。アマゾン ウェブ サービスのツールページで.

軌跡にタグを使用する理由

タグは、お客様定義のキーおよびオプションの値であり、AWSリソース(CloudTrail 証跡、CloudTrail ログファイルの格納に使用される Amazon S3 バケット、AWS Organizations組織と組織単位、およびより多くの。証跡と証跡のログファイルを保存するために使用する Amazon S3 バケットに同じタグを追加することで、これらのリソースを管理、検索、およびフィルタリングするのが簡単になります。AWS Resource Groups。タグ付け戦略を実装して、リソースを一貫して効果的に、そして簡単に検索して管理できます。詳細については、「AWS タグ付け戦略」を参照してください。

CloudTrail へのアクセスをどのように制御しますか?

AWS Identity and Access Managementは、Amazon Web Services (AWS) カスタマーを使用して、ユーザーやユーザー許可を管理できます。IAM を使用して、にアクセスする必要があるすべての従業員に、個別のユーザーを作成します。AWS CloudTrail。ご自身にも IAM ユーザーを作成することにより、IAM ユーザーに管理者特権を与え、それらの IAM ユーザーをお客様の全作業で使用することができます。お客様のアカウントにアクセスする人に対して個別 IAM ユーザーを作成することにより、IAM ユーザーそれぞれに一意の認証情報を設定することができます。各 IAM ユーザーにそれぞれ異なるアクセス権限を付与することもできます。必要な場合には、いつでも IAM ユーザーのアクセス権限を変更、または無効にすることができます。詳細については、「CloudTrail のユーザーアクセス権限のコントロール」を参照してください。

管理イベントとデータイベントのログ記録はどのように記録しますか?

デフォルトでは、証跡は AWS アカウントのすべての管理イベントをログに記録し、データイベントは記録しません。データイベントをログ記録するには、証跡を作成または更新します。証跡設定に一致するイベントだけが、Amazon S3 バケットに加え、オプションで Amazon CloudWatch Logs ロググループに配信されます。イベントが証跡の設定と一致しない場合、イベントはログに記録されません。詳細については、「CloudTrail ログファイルの操作」を参照してください。

CloudTrail インサイトイベントをどのように記録しますか?

AWSCloudTrail の洞察は、役立ちますAWSユーザーは、CloudTrail 管理イベントを継続的に分析することで、異常な量の API コールを特定し、それに応答することができます。インサイトイベントは、異常なレベルの write 管理 API アクティビティの記録です。インサイトイベントの詳細ページには、異常なアクティビティのグラフとしてイベントが示され、異常なアクティビティの開始時間および終了時間と、アクティビティが異常かどうかを判断するために使用されるベースラインが表示されます。デフォルトでは、証跡は CloudTrail インサイトイベントを記録しません。コンソールでは、証跡を作成または更新するときにインサイトイベントを記録するよう選択できます。CloudTrail API を使用する場合、インサイトイベントを記録するには、PutInsightSelectorsAPI. CloudTrail インサイトイベントのログ記録には追加料金が適用されます。詳細については、「証跡のインサイトイベントの記録」と「AWS CloudTrail 料金表」を参照してください。

CloudTrail を使用したモニタリングはどのように実行しますか?

CloudWatch Logs、CloudWatch イベント、および CloudTrail

Amazon CloudWatch は、メトリクスを収集して追跡し、Amazon Web Services (AWS) リソースとで実行しているアプリケーションをAWS。Amazon CloudWatch Logs は、ログデータのモニタリングに使用できる CloudWatch の機能です。CloudWatch Logs と統合すれば、CloudTrail は API アクティビティを含んだイベントを、AWSアカウントを CloudWatch Logs ロググループに追加します。CloudWatch Logs に送信された CloudTrail イベントと、ユーザーが定義したメトリクスフィルタに基づいて、アラームをトリガーすることもできます。メトリクスフィルタによって抽出されたログストリームイベントに基づいて、通知を送信したり、モニタリング対象のリソースに変更を加えるよう設定することもできます。CloudWatch Logs を使用すると、オペレーティングシステム、アプリケーション、またはその他のイベントに加えて CloudTrail イベントを追跡することもできます。AWSCloudWatch Logs に送信されるサービスについて簡単に説明します。詳細については、「Amazon CloudWatch Logs を使用した CloudTrail ログファイルのモニタリング」を参照してください。

Amazon CloudWatch Events は、AWSサービスは、システムイベントのほぼリアルタイムのストリームを提供します。これは、AWSリソースの使用料金を見積もることができます。CloudWatch Events では、CloudTrail によって記録されたすべてのイベントでトリガーされるルールを作成できます。詳細については、「」を参照してください。『』の「トリガーする CloudWatch イベントルールの作成」AWSを使用した API 呼び出しAWS CloudTrail

インサイトイベントは CloudWatch と統合されています。証跡で登録しているイベント (インサイトイベントなど) を CloudWatch Events と CloudWatch Logs に配信できます。CloudWatch コンソールまたは API で CloudWatch イベントを設定するには、AWS Insight via CloudTrailイベントタイプのルールの作成ページで CloudWatch コンソールで確認できます。

CloudTrail によってログに記録されたデータを CloudWatch Logs または CloudWatch Events に送信するには、少なくとも 1 つの証跡が必要です。証跡の作成方法の詳細については、「証跡の作成」を参照してください。

CloudTrail は地域およびグローバルにどのように動作しますか?

証跡は 1 つのリージョンに適用することもできますし、すべてのリージョンに適用することもできます。ベストプラクティスとしては、[] の [すべてのリージョンに適用される証跡を、[] のAWSパーティションあなたが働いています。これは、CloudTrail コンソールで証跡を作成する場合のデフォルトの設定です。

注記

証跡を有効にする証跡を作成し、CloudTrail イベントログファイルの Amazon S3 バケットへの配信を開始することを意味します。CloudTrail コンソールでは、証跡を作成する際にログ記録が自動的に有効になります。

証跡をすべてのリージョンに適用することの利点

すべての AWS リージョンに適用される証跡には、次のような利点があります。

  • 証跡の設定が、すべての AWS リージョンに一貫性を持って適用されます。

  • CloudTrail イベントは、すべてのAWS1 つの Amazon S3 バケットのリージョン。オプションで指定された場合は、CloudWatch Logs ロググループのリージョン。

  • すべての AWS リージョンの証跡設定を 1 つの場所から管理できます。

  • 新しい AWS リージョンからのイベントをすぐに受信できます。ときに新しいAWSリージョンが起動された場合、CloudTrail は元の証跡と同じ設定を使用して、新しいリージョンに、リージョンのすべての証跡のコピーを自動的に作成します。

  • 異常なアクティビティを監視するために、にあまり使用しない証跡を AWS リージョンに作成する必要はありません。すべての AWS リージョンのすべてのアクティビティはすべての AWS リージョンに適用される証跡でログに記録されます。

証跡をすべてのリージョンに適用した場合に起こること

証跡をすべてに適用するとAWSリージョンでは、CloudTrail はユーザーが特定のリージョンで作成した証跡を使用して、アカウント内のその他のすべてのリージョンに、同じ設定の証跡を作成します。

その結果、次のことが起こります。

  • CloudTrail は、アカウントアクティビティのログファイルをすべてのAWSユーザーが指定した 1 つの Amazon S3 バケットのリージョン、およびオプションで指定された場合は、CloudWatch Logs ロググループにも配信できます。

  • 証跡用の Amazon SNS トピックを設定した場合は、すべてのAWSリージョンはその単一の SNS トピックに送信されます。

  • ログファイルの整合性検証を有効にした場合は、その証跡のすべての AWS リージョンで有効になります。詳細については、「CloudTrail ログファイルの整合性の検証」を参照してください。

1 リージョンに対する複数の証跡

開発者、セキュリティ担当者、IT 監査者など、関連するユーザーグループが複数ある場合は、1 つのリージョンに対して複数の証跡を作成できます。これにより、各グループがログファイルの独自のコピーを受け取れるようになります。

CloudTrail は、リージョンごとに 5 つの証跡をサポートします。すべての AWS リージョンに適用される証跡は、すべてのリージョンで 1 つの証跡としてカウントされます。

次に示すのは、1 つのリージョンに 5 つの証跡を使用する場合の例です。

  • 米国西部 (北カリフォルニア) リージョンに、そのリージョンだけに適用される証跡を 2 つ作成する。

  • 米国西部 (北カリフォルニア) リージョンに、すべてのAWSリージョン。

  • アジアパシフィック (シドニー) リージョンで証跡を作成し、すべてのAWSリージョン。この証跡は、米国西部 (北カリフォルニア) リージョンにも存在します。

証跡は存在する AWS リージョンに表示されます。すべての AWS リージョンのイベントをログに記録する証跡は、すべてのリージョンに表示されます。証跡のリストは、[AWSリージョンの証跡CloudTrail コンソールの「」ページを参照してください。詳細については、「証跡の更新」を参照してください。CloudTrail の料金については、「」を参照してください。AWS CloudTrail料金

AWS Security Token Service(AWS STS) と CloudTrail

AWS STS は、グローバルエンドポイントを持つとともに、リージョン固有のエンドポイントもサポートしているサービスです。エンドポイントとは、ウェブサービスリクエストのエントリポイントとなる URL のことす。例:https://cloudtrail.us-west-2.amazonaws.comは、米国西部 (オレゴン) リージョンのエントリポイントです。AWS CloudTrailサービス。リージョンのエンドポイントは、アプリケーションのレイテンシーを低減するのに役立ちます。

AWS STS のリージョン固有エンドポイントを使用した場合、そのリージョンの証跡は、そのリージョンで発生した AWS STS イベントのみを配信します。たとえば、エンドポイント sts.us-west-2.amazonaws.com を使用している場合、us-west-2 の証跡は、us-west-2 から発生した AWS STS イベントのみを配信します。の詳細AWS STSリージョナルエンドポイントの詳細については、」の有効化と無効化AWS STSでAWSリージョン()IAM ユーザーガイド

の完全なリストについては、AWSリージョナルエンドポイントの詳細については、」AWSのリージョンとエンドポイント()AWSの全般的なリファレンス。グローバル AWS STS エンドポイントからのイベントの詳細については、「グローバルサービスイベントについて」を参照してください。

グローバルサービスイベントについて

ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。などのグローバルサービスの場合AWS Identity and Access Management(IAM),AWS STS、Amazon CloudFront など、イベントはグローバルサービスが含まれている証跡に配信されます。

ほとんどのグローバルサービスの場合、イベントは米国東部 (バージニア北部) リージョンであるとログに記録されますが、一部のグローバルサービスイベントは米国東部 (オハイオ州) リージョンであるとログに記録されます。

グローバルサービスイベントを重複して受信しないようにするには、次の点に注意してください。

  • デフォルトでは、グローバルサービスイベントは CloudTrail コンソールを使用して作成された証跡に配信されます。イベントは、その証跡のバケットに配信されます。

  • 単一のリージョンの証跡が複数ある場合は、証跡を設定し、グローバルサービスイベントがそれらの証跡の 1 つのみに配信されるようにすることを検討します。詳細については、「グローバルサービスイベントのログ記録の有効化と無効化」を参照してください。

  • 証跡の設定をすべてのリージョンのログ記録から単一のリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に無効になります。同様に、証跡の設定を単一のリージョンのログ記録からすべてのリージョンのログ記録に変更すると、その証跡に対してグローバルサービスイベントのログ記録は自動的に無効になります。

    証跡に対するグローバルサービスイベントのログ記録の変更の詳細については、「グローバルサービスイベントのログ記録の有効化と無効化」を参照してください。

例:

  1. 証跡は CloudTrail コンソールで作成します。デフォルトでは、この証跡はグローバルサービスイベントをログに記録します。

  2. 単一リージョンの証跡を複数作成したとします。

  3. 単一リージョンの証跡について、グローバルサービスを含める必要はありません。グローバルサービスイベントは、1 つ目の証跡に対して配信されます。詳細については、「トレイルの作成、更新、管理AWS Command Line Interface」を参照してください。

注記

証跡を作成または更新する場合、AWS CLI,AWSSDK または CloudTrail API を使用する場合は、証跡に対してグローバルサービスイベントを含むか、除外するよう選択できます。CloudTrail コンソールからグローバルサービスイベントのログ記録を設定することはできません。

CloudTrail は、他のAWS監視サービス?

CloudTrail は、ですでに提供されているモニタリング機能に、別のディメンションを追加するものです。AWS。ユーザーがすでに使用しているログ記録機能 (Amazon S3 や Amazon CloudFront サブスクリプション用など) を変更したり、それらに取って代わるものではありません。Amazon CloudWatch は、パフォーマンスのモニタリングとシステムの正常性に特化した機能です。CloudTrail は API アクティビティに重点を置いています。CloudTrail では、システムのパフォーマンスや正常性に関するレポートは提供されませんが、CloudWatch アラームとともに使用すれば、特定のアクティビティについて通知を受け取ることができます。

パートナーソリューション

AWSロギングと分析に関するサードパーティースペシャリストのいるパートナーからは、CloudTrail の出力を使用するソリューションが提供されています。詳細については、『』の CloudTrail の詳細ページ (AWSCloudTrail