証跡の作成 - AWS CloudTrail
コンソールで証跡を作成する次のステップ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

証跡の作成

ベストプラクティスとして、すべての AWS リージョンに適用される証跡を作成します。 CloudTrailこれはコンソールで証跡を作成するときのデフォルト設定です。証跡をすべてのリージョンに適用すると、AWS 作業中のパーティション内のすべてのリージョンのログファイルが、指定した S3 CloudTrail バケットに配信されます。証跡を作成すると、 AWS CloudTrail 指定したイベントの記録が自動的に開始されます。

注記

証跡を作成したら、 CloudTrail ログに収集されたイベントデータをさらに分析し、 AWS のサービス それに基づいて行動するようにその他を設定できます。詳細については、「AWS CloudTrail サービスとログの統合」を参照してください。

コンソールで証跡を作成する

次の手順に従って、 AWS リージョン AWS 作業中のパーティションのすべてのイベントを記録するトレイルを作成します。これは推奨されるベストプラクティスです。単一リージョンでイベントのログ記録を行うには (非推奨)、AWS CLIを使用します

CloudTrail を使用して証跡を作成するには AWS Management Console

  1. AWS Management Console にサインインし、https://console.aws.amazon.com/cloudtrail/ CloudTrail のコンソールを開きます。

  2. CloudTrail サービスのホームページ、「証跡」ページ、または「ダッシュボード」ページの「証跡を作成」セクションで、「証跡を作成」を選択します。

  3. [Create Trail] (証跡の作成) ページの [Trail name] (証跡名) に証跡の名前を入力します。詳細については、「命名の要件」を参照してください。

  4. AWS Organizations これが組織の証跡である場合は、組織内のすべてのアカウントに対して証跡を有効にできます。このオプションを表示するには、管理アカウントまたは委任された管理者アカウントのユーザーまたはロールでコンソールにサインインする必要があります。組織の証跡を正しく作成するには、ユーザーまたはロールに十分なアクセス許可があることを確認してください。詳細については、「組織の証跡の作成 」を参照してください。

  5. [ストレージの場所] で、[新しい S3 バケットを作成する] を選択すると、新しいバケットが作成されます。バケットを作成すると、 CloudTrail必要なバケットポリシーを作成して適用します。

    注記

    [既存の S3 バケットを使用する] を選択した場合、[証跡ログバケット名] のバケットを指定するか、[参照] を選択してお使いのアカウントのバケットを選択します。別のアカウントのバケットを使用する場合は、バケット名を指定する必要があります。バケットポリシーは、 CloudTrail 書き込み権限を付与する必要があります。バケットポリシーを手動で編集する方法については、の Amazon S3 バケットポリシー CloudTrail を参照してください。

    ログを見つけやすくするために、既存のバケットに新しいフォルダー (プレフィックスとも呼ばれる) CloudTrail を作成してログを保存します。プレフィックスを [プレフィックス] に入力します。

  6. [Log file SSE-KMS encryption] (ログファイルの SSE-KMS 暗号化) で、SSE-S3 暗号化を使用する代わりに SSE-KMS 暗号化を使用してログファイルを暗号化する場合は、[Enabled] (有効) を選択します。デフォルトは [Enabled] です。SSE-KMS 暗号化を有効にしない場合、ログは SSE-S3 暗号化を使用して暗号化されます。SSE-KMS 暗号化の詳細については、「(SSE-KMS) でのサーバー側の暗号化の使用」を参照してください。 AWS Key Management Service SSE-S3 暗号化の詳細については、「Amazon S3 が管理する暗号化キーによるサーバー側の暗号化 (SSE−S3) の使用」を参照してください。

    SSE-KMS 暗号化を有効にする場合は、[新規] または [既存] を選択します。 AWS KMS key「AWS KMS エイリアス」で、エイリアスを次の形式で指定します。alias/ MyAliasName詳細については、「KMS キーを使用するようにリソースを更新する」を参照してください。 CloudTrail AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、AWS Key Management Service デベロッパーガイドの「マルチリージョンキーを使用する」を参照してください。

    注記

    別のアカウントのキーの ARN を入力することもできます。詳細については、「KMS キーを使用するようにリソースを更新する」を参照してください。キーポリシーでは CloudTrail 、キーを使用してログファイルを暗号化することを許可し、指定したユーザーが暗号化されていない形式のログファイルを読み取ることを許可する必要があります。キーポリシーを手動で編集する方法については、CloudTrail の AWS KMS キーポリシーの設定 を参照してください。

  7. [Additional settings] で、次の操作を行います。

    1. [ログファイル検証を有効にする] で [Enabled] を選択して、S3 バケットにログダイジェストが配信されるようにします。ダイジェストファイルを使用して、 CloudTrail ログファイルが配信後に変更されていないことを確認できます。詳細については、「CloudTrail ログファイルの整合性の検証」を参照してください。

    2. SNS 通知の配信では、[有効] を選択すると、ログがバケットに配信されるたびに通知が届きます。 CloudTrail 複数のイベントをログファイルに保存します。SNS 通知は、ログファイルごとに送信されます (イベントごとではありません)。詳細については、「CloudTrail の Amazon SNS 通知の設定」を参照してください。

      SNS 通知を有効にすると、[Create a new SNS topic] で、[New] を選択してトピックを作成するか、[Existing] を選択して既存のトピックを使用します。すべてのリージョンに適用される証跡を作成した場合、すべてのリージョンからのログファイル配信を知らせる SNS 通知は、ユーザーが作成した単一の SNS トピックに送信されます。

      [新規] を選択すると、 CloudTrail 新しいトピックの名前が自動的に指定されるか、名前を入力できます。[Existing] を選択した場合、ドロップダウンリストから SNS トピックを選択します。別のリージョンにあるトピックの ARN を入力したり、適切なアクセス許可を持ったアカウントにあるトピックの ARN を入力することもできます。詳細については、「の Amazon SNS トピックポリシー CloudTrail」を参照してください。

      トピックを作成する場合は、ログファイル配信の通知を受けるトピックを受信登録する必要があります。受信登録は Amazon SNS コンソールから行うことができます。通知頻度の都合上、受信登録については、Amazon SQS キューを使用して通知をプログラムで処理するように設定することをお勧めします。詳細については、Amazon Simple Notification Service 入門ガイドを参照してください。

  8. 必要に応じて、[Logs] で [Enabled] を選択して、 CloudWatch ログファイルを CloudWatch Logs CloudTrail に送信するように構成します。詳細については、「CloudWatch Logs へのイベントの送信」を参照してください。

    1. CloudWatch Logs との統合を有効にする場合は、[New] を選択して新しいロググループを作成するか、[Existing] を選択して既存のロググループを使用します。[New] を選択した場合は、 CloudTrail 新しいロググループの名前を指定するか、名前を入力できます。

    2. [Existing] を選択した場合、ドロップダウンリストからロググループを選択します。

    3. [New] を選択すると、Logs にログを送信する権限を持つ新しい IAM ロールが作成されます。 CloudWatch [Existing] を選択して、ドロップダウンリストから既存の IAM ロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、[ポリシードキュメント] を展開すると表示されます。このロールの詳細については、「 CloudTrail CloudWatch ログを監視に使用するためのロールポリシードキュメント」を参照してください。

      注記

      • 証跡を設定する際には、別のアカウントに属している S3 バケットや SNS トピックを選択することもできます。ただし、 CloudWatch Logs ロググループにイベントを配信する場合は、現在のアカウントに存在するロググループを選択する必要があります。 CloudTrail

      • CloudWatch コンソールを使用して組織トレイルのログロググループを設定できるのは管理アカウントだけです。委任管理者は、 AWS CLI CloudTrail CreateTrailまたは UpdateTrail API CloudWatch オペレーションを使用してログロググループを設定できます。

  9. [タグ] で、1 つまたは複数のカスタムタグ (キーと値のペア) を証跡に追加します。タグは、 CloudTrail CloudTrail トレイルとログファイルを含む Amazon S3 バケットの両方を識別するのに役立ちます。そうすれば、リソースとしてリソースグループを使用できます。 CloudTrail 詳細については、「AWS Resource Groups」および「リソースにタグを使う理由 CloudTrail 」を参照してください。

  10. [Choose log events] ページで、ログに記録するイベントタイプを選択します。[管理イベント] で、次の操作を行います。

    1. [API activity] で、証跡で記録する対象を [読み取り] イベント、[書き込み] イベント、またはその両方を選択します。詳細については、「管理イベント」を参照してください。

    2. AWS KMS イベントを除外」を選択すると、トレイルからイベントを除外する AWS Key Management Service (AWS KMS) ことができます。 AWS KMS デフォルト設定ではすべてのイベントが含まれます。

      AWS KMS イベントをログに記録するか除外するかは、トレイルの管理イベントをログに記録する場合にのみ使用できます。管理イベントをログに記録しないことを選択した場合、 AWS KMS イベントは記録されず、 AWS KMS イベントログ設定を変更することもできません。

      AWS KMS Encrypt、などのアクションではDecryptGenerateDataKey通常、大量 (99% 以上) のイベントが生成されます。これらのアクションは、[読み取り] イベントとしてログに記録されるようになりました。DisableDelete、 AWS KMS などのボリュームが少なく関連性の高いアクションScheduleKey(通常はイベント量の 0.5% 未満)は、 AWS KMS 書き込みイベントとして記録されます。

      、、などの大量のイベントを除外しEncryptDecryptGenerateDataKey、などの関連イベントは引き続き記録するにはDisableDelete書き込み管理イベントをログに記録することを選択し、[除外イベント] のチェックボックスをオフにします。ScheduleKey AWS KMS

    3. [Exclude Amazon RDS Data API events] を選択して、証跡から Amazon Relational Database Service データ API イベントを除外できます。デフォルト設定では、すべての Amazon RDS Data API イベントが含まれています。Amazon RDS Data API イベントの詳細については、Aurora の Amazon RDS Amazon RDS ユーザーガイドの「AWS CloudTrailによる Data API コールのログ記録」を参照してください。

  11. データイベントをログに記録するには、[データイベント] を選択します。データイベントのログ記録には追加料金が適用されます。詳細については、「AWS CloudTrail の料金」を参照してください。

  12. 重要

    ステップ 12 ~ 16 は、デフォルトである高度なイベントセレクターを使用してデータイベントを設定するためのものです。高度なイベントセレクターでは、より多くのデータイベントタイプを設定し、証跡でキャプチャするデータイベントをきめ細かく制御できます。基本的なイベントセレクターを使用する場合は、基本的なイベントセレクターを使用してデータイベント設定を構成する のステップを完了してから、この手順のステップ 17 に戻ってください。

    [データイベントタイプ] で、データイベントをログ記録するリソースのタイプを選択します。使用可能なデータイベントタイプの詳細については、「データイベント」を参照してください。

    注記

    Lake Formation AWS Glue によって作成されたテーブルのデータイベントをログに記録するには、Lake Formation を選択します。

  13. ログセレクターテンプレートを選択します。 CloudTrail リソースタイプのすべてのデータイベントをログに記録する定義済みのテンプレートが含まれています。カスタムログセレクタテンプレートを構築するには、[Custom] を選択します。

    注記

    S3 バケット用の定義済みテンプレートを選択すると、 AWS アカウントに現在あるすべてのバケット、およびトレイルの作成後に作成したすべてのバケットのデータイベントログ記録が可能になります。また、別のアカウントに属するバケットでアクティビティが実行された場合でも、 AWS アカウント内の任意の IAM ID によって実行されたデータイベントアクティビティを記録できます。 AWS

    証跡が 1 つのリージョンのみに適用される場合、すべての S3 バケットをログ記録する事前定義済みテンプレートを選択すると、同じリージョン内のすべてのバケット、およびそのリージョンで後に作成するバケットに対して、データイベントのログ記録が可能になります。 AWS アカウントの他のリージョンの Amazon S3 バケットのデータイベントは記録されません。

    すべてのリージョンの証跡を作成する場合、Lambda 関数の定義済みテンプレートを選択すると、 AWS アカウントに現在あるすべての関数、および証跡の作成後に任意のリージョンで作成できる Lambda 関数のデータイベントログ記録が有効になります。1 つのリージョンの証跡を作成する場合(を使用 AWS CLI)、この選択により、 AWS アカウント内のそのリージョンに現在存在するすべての関数、および証跡の作成後にそのリージョンで作成する可能性のあるすべての Lambda 関数のデータイベントロギングが有効になります。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

    また、すべての関数のデータイベントをログに記録することで、アカウント内の任意の IAM ID によって実行されたデータイベントのアクティビティを記録できるようになります。 AWS そのアクティビティが別のアカウントに属する関数で実行された場合も同様です。 AWS

  14. (オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、「2 つの S3 バケットだけのデータイベントを記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名は、拡張イベントセレクタに「Name」と表示され、[JSON ビュー] を展開すると表示されます。

  15. [Advanced event selectors] で、データイベントをログに記録する特定のリソースの式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。

    1. 次のフィールドから選択します。

      • readOnly-readOnly またはと同じ値に設定できますtrue false読み取り専用データイベントは、Get* または Describe* イベントなどのリソースの状態を変更しないイベントです。書き込みイベントは、Put*Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。read および write イベントの両方を記録するには、readOnly セレクタを追加しないでください。

      • eventName - eventName は任意の演算子を使用できます。これを使用して、、、 CloudTrail、などPutBucketPutItemGetSnapshotBlockログに記録されたデータイベントをすべて含めたり除外したりできます。

      • resources.ARN-には任意の演算子を使用できますがresources.ARN、「等しい」または「等しくない」を使用する場合、値は、テンプレートで値として指定したタイプの有効なリソースの ARN と完全に一致する必要があります。resources.type

        以下の表は、それぞれの resources.type に有効な ARN フォーマットを示しています。

        注記

        resources.ARNこのフィールドを使用して ARN のないリソースタイプをフィルタリングすることはできません。

        resources.type resources.ARN
        AWS::DynamoDB::Table1 
        arn:partition:dynamodb:region:account_ID:table/table_name
        AWS::Lambda::Function 
        arn:partition:lambda:region:account_ID:function:function_name

        AWS::S3::Object2

        		 
        arn:partition:s3:::bucket_name/
arn:partition:s3:::bucket_name/object_or_file_name/
        AWS::AppConfig::Configuration 
        arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
        AWS::B2BI::Transformer 
        arn:partition:b2bi:region:account_ID:transformer/transformer_ID
        AWS::Bedrock::AgentAlias 
        arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
        AWS::Bedrock::KnowledgeBase 
        arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
        AWS::Cassandra::Table 
        arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
        AWS::CloudFront::KeyValueStore 
        arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
        AWS::CloudTrail::Channel 
        arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
        AWS::CodeWhisperer::Customization 
        arn:partition:codewhisperer:region:account_ID:customization/customization_ID
        AWS::CodeWhisperer::Profile 
        arn:partition:codewhisperer:region:account_ID:profile/profile_ID
        AWS::Cognito::IdentityPool 
        arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
        AWS::DynamoDB::Stream 
        arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
        AWS::EC2::Snapshot 
        arn:partition:ec2:region::snapshot/snapshot_ID
        AWS::EMRWAL::Workspace 
        arn:partition:emrwal:region:account_ID:workspace/workspace_name
        AWS::FinSpace::Environment 
        arn:partition:finspace:region:account_ID:environment/environment_ID
        AWS::Glue::Table 
        arn:partition:glue:region:account_ID:table/database_name/table_name
        AWS::GreengrassV2::ComponentVersion 
        arn:partition:greengrass:region:account_ID:components/component_name
        AWS::GreengrassV2::Deployment 
        arn:partition:greengrass:region:account_ID:deployments/deployment_ID
        AWS::GuardDuty::Detector 
        arn:partition:guardduty:region:account_ID:detector/detector_ID
        AWS::IoT::Certificate 
        arn:partition:iot:region:account_ID:cert/certificate_ID
        AWS::IoT::Thing 
        arn:partition:iot:region:account_ID:thing/thing_ID
        AWS::IoTSiteWise::Asset 
        arn:partition:iotsitewise:region:account_ID:asset/asset_ID
        AWS::IoTSiteWise::TimeSeries 
        arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
        AWS::IoTTwinMaker::Entity 
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
        AWS::IoTTwinMaker::Workspace 
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
        AWS::KendraRanking::ExecutionPlan 
        arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
        AWS::KinesisVideo::Stream 
        arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
        AWS::ManagedBlockchain::Network 
        arn:partition:managedblockchain:::networks/network_name
        AWS::ManagedBlockchain::Node 
        arn:partition:managedblockchain:region:account_ID:nodes/node_ID
        AWS::MedicalImaging::Datastore 
        arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
        AWS::NeptuneGraph::Graph 
        arn:partition:neptune-graph:region:account_ID:graph/graph_ID
        AWS::PCAConnectorAD::Connector 
        arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
        AWS::QBusiness::Application 
        arn:partition:qbusiness:region:account_ID:application/application_ID
        AWS::QBusiness::DataSource 
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
        AWS::QBusiness::Index 
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
        AWS::QBusiness::WebExperience 
        arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
        AWS::RDS::DBCluster 
        arn:partition:rds:region:account_ID:cluster/cluster_name

        AWS::S3::AccessPoint3

        		 
        arn:partition:s3:region:account_ID:accesspoint/access_point_name
        AWS::S3ObjectLambda::AccessPoint 
        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
        AWS::S3Outposts::Object 
        arn:partition:s3-outposts:region:account_ID:object_path
        AWS::SageMaker::Endpoint 
        arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
        AWS::SageMaker::ExperimentTrialComponent 
        arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
        AWS::SageMaker::FeatureGroup 
        arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
        AWS::SCN::Instance 
        arn:partition:scn:region:account_ID:instance/instance_ID
        AWS::ServiceDiscovery::Namespace 
        arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
        AWS::ServiceDiscovery::Service 
        arn:partition:servicediscovery:region:account_ID:service/service_ID
        AWS::SNS::PlatformEndpoint 
        arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
        AWS::SNS::Topic 
        arn:partition:sns:region:account_ID:topic_name
        AWS::SQS::Queue 
        arn:partition:sqs:region:account_ID:queue_name
        AWS::SSM::ManagedNode

        ARN は次のいずれかの形式である必要があります。

        • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

        • arn:partition:ec2:region:account_ID:instance/instance_ID
        AWS::SSMMessages::ControlChannel 
        arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
        AWS::SWF::Domain 
        arn:partition:swf:region:account_ID:/domain/domain_name
        AWS::ThinClient::Device 
        arn:partition:thinclient:region:account_ID:device/device_ID
        AWS::ThinClient::Environment 
        arn:partition:thinclient:region:account_ID:environment/environment_ID
        AWS::Timestream::Database 
        arn:partition:timestream:region:account_ID:database/database_name
        AWS::Timestream::Table 
        arn:partition:timestream:region:account_ID:database/database_name/table/table_name
        AWS::VerifiedPermissions::PolicyStore 
        arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

        1 ストリームが有効になっているテーブルの場合、データイベントの resources フィールドには AWS::DynamoDB::StreamAWS::DynamoDB::Table の両方が含まれます。resources.typeAWS::DynamoDB::Table を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベントを除外するにはeventNameフィールドにフィルターを追加します。

        2 特定の S3 バケット内のすべてのオブジェクトのすべてのデータイベントをログ記録するには、StartsWith 演算子を使用し、値の一致するバケット ARN のみを含めます。末尾のスラッシュは意図的です。除外しないでください。

        3 S3 アクセスポイントのすべてのオブジェクトでイベントをログ記録するには、アクセスポイント ARN のみを使用し、オブジェクトパスを含めず、StartsWith または NotStartsWith 演算子を使用することを推奨します。

      データイベントリソースの ARN 形式の詳細については、AWS Identity and Access Management ユーザーガイドの「アクション、リソース、条件キー」を参照してください。

    2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。たとえば、トレイルに記録されたデータイベントから 2 つの S3 バケットのデータイベントを除外するには、フィールドを Resources.arn に設定し、演算子を for not start with に設定してから S3 バケット ARN を貼り付けるか、イベントをログに記録しない S3 バケットを参照します。

      2 番目の S3 バケットを追加するには、[条件の追加] を選択した後に上記の手順を繰り返し、ARN に貼り付けるか、別のバケットをブラウズします。

      注記

      証跡上のすべてのセレクタに対して、最大 500 の値を設定できます。これには、eventName などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。

      アカウントに 15,000 個を超える Lambda 関数がある場合、 CloudTrail 証跡を作成するときにコンソールですべての関数を表示または選択することはできません。表示されていない場合でも、事前定義済みのセレクタテンプレートを使用してすべての関数をログ記録できます。特定の関数のデータイベントをログ記録する場合、ARN が分かれば、関数を手動で追加することができます。コンソールでトレイルの作成を完了し、put-event-selectorsおよびコマンドを使用して特定の AWS CLI Lambda 関数のデータイベントロギングを設定することもできます。詳細については、「によるトレイルの管理 AWS CLI」を参照してください。

    3. [+ Field] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。例えば、あるセレクタで ARN を値と等しく指定せず、次に、別のセレクタで同じ値に等しくない ARN を指定します。

  16. データイベントをログに記録する別のデータタイプを追加するには、[Add data event type] を選択します。ステップ 12 からこのステップを繰り返し、データイベントタイプのアドバンストイベントセレクタを設定します。

  17. トレイルに Insights イベントをログに記録させたい場合は、 CloudTrail Insights events を選択してください。

    [Event type] で、[Insights events] を選択します。[API コール率] の Insights イベントをログに記録するには、[Write] 管理イベントをログ記録している必要があります。[API エラー率] の Insights イベントをログに記録するには、[Read] または [Write] 管理イベントをログ記録している必要があります。

    CloudTrail Insights は管理イベントに異常なアクティビティがないか分析し、異常が検出されるとイベントをログに記録します。デフォルトでは、証跡は Insights イベントを記録しません。Insights トイベントの詳細については、「Insights イベントのログ記録」を参照してください。Insights イベントの記録には追加料金が適用されます。 CloudTrail 料金については、「価格設定」を参照してください。AWS CloudTrail

    インサイトイベントは、トレイル詳細ページのストレージロケーションエリアで指定された同じ S3 /CloudTrail-Insight バケットという名前の別のフォルダーに配信されます。 CloudTrail新しいプレフィックスを自動的に作成します。たとえば、現在の送信先 S3 バケットの名前が S3bucketName/AWSLogs/CloudTrail/ の場合、新しいプレフィックスが付いた S3 バケットの名前は S3bucketName/AWSLogs/CloudTrail-Insight/ になります。

  18. ログに記録するイベントタイプの選択が終了したら、[Next] を選択します。

  19. [Review and create] ページで選択内容を確認します。[Edit] を選択して、そのセクションに表示される証跡設定を変更します。証跡を作成する準備ができたら、[Create trail] を選択します。

  20. 新しい証跡が [Trails] (証跡) ページに表示されます。約 5 分後に、アカウントで行われた AWS API CloudTrail 呼び出しを示すログファイルを公開します。ユーザーは、指定した S3 バケット内のログファイルを確認することができます。Insights イベントロギングを有効にしていて、異常なアクティビティが検出された場合、最初の Insights イベントの配信には最大 36 時間かかることがあります。 CloudTrail

    注記

    CloudTrail 通常、API 呼び出しから平均約 5 分以内にログが配信されます。この時間は保証されません。詳細については、「AWS CloudTrail サービスレベルアグリーメント」をご覧ください。

    証跡の設定を誤ると (S3 バケットにアクセスできないなど)、ログファイルを S3 バケットに 30 日間再配信しようとしますが、 CloudTrail attempted-to-deliver これらのイベントには標準料金が適用されます。 CloudTrail 証跡の不適切な設定による課金を避けるには、その証跡を削除する必要があります。

基本的なイベントセレクターを使用してデータイベント設定を構成する

高度なイベントセレクターを使用して、すべてのデータイベントタイプを設定できます。高度なイベントセレクターでは、関心のあるイベントのみを記録する詳細なセレクターを作成できます。

基本的なイベントセレクターを使用してデータイベントをログに記録する場合、記録できるのは Amazon S3 バケット、 AWS Lambda 関数、および Amazon DynamoDB テーブルのデータイベントに限定されます。eventName基本的なイベントセレクターを使用してフィールドをフィルタリングすることはできません。

証跡のデータイベント用の基本的なイベントセレクター

以下の手順で、基本的なイベントセレクターを使用して、データイベント設定を構成します。

基本的なイベントセレクターを使用してデータイベント設定を構成するには

  1. データイベントをログ記録するには、[イベント][データイベント] を選択します。データイベントのログ記録には追加料金が適用されます。詳細については、「AWS CloudTrail の料金」を参照してください。

  2. Amazon S3 バケットの場合

    1. [Data source] で、[S3] を選択します。

    2. すべての現在および将来の S3 バケットを記録することを選択するか、バケットまたは関数を個々に指定することができます。デフォルトでは、現在および将来のすべての S3 バケットのデータイベントが記録されます。

      注記

      デフォルトの [All current and future S3 Buckets] オプションをそのまま使用すると、 AWS アカウントに現在あるすべてのバケット、および証跡の作成後に作成したすべてのバケットのデータイベントログが有効になります。また、別のアカウントに属するバケットでアクティビティが実行された場合でも、 AWS アカウント内の任意の IAM ID によって実行されたデータイベントアクティビティを記録できます。 AWS

      1 つのリージョンの証跡を作成する場合(を使用 AWS CLI)、[All current and future S3 Buckets] を選択すると、トレイルと同じリージョンのすべてのバケットと、そのリージョンで後で作成するバケットのデータイベントロギングが有効になります。 AWS アカウントの他のリージョンの Amazon S3 バケットのデータイベントは記録されません。

    3. デフォルトの [All current and future S3 buckets] で、[読み取り] イベント、[書き込み] イベント、またはその両方をログ記録することを選択します。

    4. 個々のバケットを選択するには、[All current and future S3 buckets] の [読み取り] および [書き込み] のチェックボックスをオフにします。[Individual bucket selection] で、データイベントをログ記録するバケットを参照します。目的のバケットのバケットプレフィックスを入力して、特定のバケットを検索します。このウィンドウで、複数のバケットを選択できます。[Add bucket] を選択してより多くのバケットのデータイベントをログ記録します。[読み取り] イベント (例: GetObject) か、[書き込み] イベント (例: PutObject)、または両方を選択します。

      この設定は、個別のバケットに設定した個々の設定よりも優先されます。たとえば、すべての S3 バケットにログ記録 [読み取り] イベントを指定し、データイベントログ記録に特定のバケットの追加を選択した場合、追加したバケットには既に [読み取り] が設定されています。選択を解除することはできません。[書き込み] のオプションしか設定することができません。

      ログ記録からバケットを削除するには、[X] を選択します。

  3. データイベントをログに記録する別のデータタイプを追加するには、[Add data event type] を選択します。

  4. Lambda 関数の場合

    1. [Data source] で、[Lambda] を選択します。

    2. [Lambda 関数] で、[All regions] を選択してすべての Lambda 関数をログ記録するか、[Input function as ARN] を使用して、特定の関数のデータイベントをログ記録します。

      AWS アカウント内のすべての Lambda 関数のデータイベントをログに記録するには、[現在およびfuture 関数をすべてログに記録する] を選択します。この設定は、関数に個々に設定した各設定よりも優先されます。すべての関数が表示されていなくても、関数はすべてログ記録されます。

      注記

      すべてのリージョンで証跡を作成している場合は、この選択によって、 AWS アカウントの現時点のすべての関数や、証跡作成後に任意のリージョンに作成する可能性のある Lambda 関数のデータイベントのログ記録が有効になります。1 つのリージョンの証跡を作成する場合(を使用 AWS CLI)、この選択により、 AWS アカウント内のそのリージョンに現在存在するすべての関数、および証跡の作成後にそのリージョンで作成する可能性のあるすべての Lambda 関数のデータイベントロギングが有効になります。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

      また、すべての関数のデータイベントをログに記録することで、アカウント内の任意の IAM ID によって実行されたデータイベントのアクティビティを記録できるようになります。 AWS そのアクティビティが別のアカウントに属する関数で実行された場合も同様です。 AWS

    3. [Input function as ARN] を選択した場合、Lambda 関数の ARN を入力します。

      注記

      アカウントに 15,000 個を超える Lambda 関数がある場合、 CloudTrail 証跡を作成するときにコンソールですべての関数を表示または選択することはできません。表示されていない場合でも、すべての関数をログ記録するオプションを選択することができます。特定の関数のデータイベントをログ記録する場合、ARN が分かれば、関数を手動で追加することができます。コンソールでトレイルの作成を完了し、put-event-selectorsおよびコマンドを使用して特定の AWS CLI Lambda 関数のデータイベントロギングを設定することもできます。詳細については、「によるトレイルの管理 AWS CLI」を参照してください。

  5. DynamoDB テーブルの場合

    1. [Data event source] で、[DynamoDB] を選択します。

    2. [DynamoDB table selection] で、[Browse] を選択してテーブルを選択するか、アクセス許可を持つ DynamoDB テーブルの ARN に貼り付けます。DynamoDB テーブルの ARN は次の形式です。

      arn:partition:dynamodb:region:account_ID:table/table_name

      別のテーブルを追加するには、[Add row] を選択し、テーブルを参照するか、アクセス許可のあるテーブルの ARN に貼り付けます。

  6. 証跡の Insights イベントとその他の設定を行うには、このトピックで前述した手順、コンソールで証跡を作成する に戻ります。

次のステップ

証跡を作成したら、証跡に戻って次の変更を加えることができます。