証跡の作成 - AWSCloudTrail
次のステップ

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

証跡の作成

手順に従って、すべてのリージョンに適用される証跡を作成します。すべてのリージョンに適用される証跡は、すべてのリージョンのログファイルを S3 バケットに配信します。証跡を作成すると、指定したイベントのログ記録が AWS CloudTrail によって自動的に開始されます。

注記

認証を作成したら、より詳細な分析と AWS ログで収集されたデータに基づいた行動のためにその他の CloudTrail サービスを設定できます。詳細については、「」を参照してください。CloudTrail でサポートされるサービスと統合.

コンソールで、AWS有効にしたすべての リージョンのイベントをログに記録する証跡を作成します。これは推奨されるベストプラクティスです。1 つのリージョン (推奨されません) でイベントを記録するには、 を使用しますAWS CLI。

高度なイベントセレクタをまだ有効にしていない場合は、以下の手順を使用します。高度なイベントセレクタを有効にしている場合は、「コンソールでの証跡の作成 (アドバンストイベントセレクタ)」を参照して、証跡のデータイベントのログ記録を設定します。

CloudTrail を使用して AWS マネジメントコンソール 証跡を作成するには

  1. AWS マネジメントコンソール にサインインした後、https://console.aws.amazon.com/cloudtrail/ にある CloudTrail コンソールを開きます。

  2. サービスのホームページ、CloudTrail証跡 ページ、または [ダッシュボード] ページの [証跡] セクションで、[証跡の作成] を選択します。

  3. [Create Trail] ページの [Trail name] に、証跡の名前を入力します。詳細については、「」を参照してください。CloudTrail 証跡の命名要件.

  4. これが AWS Organizations 組織の証跡の場合、組織内のすべてのアカウントに対して証跡を有効にすることを選択できます。このオプションは、管理アカウントの IAM ユーザーまたはロールでコンソールにサインインしている場合にのみ表示されます。組織の証跡を正しく作成するには、ユーザーまたはロールに十分なアクセス許可.があることを確認してください。詳細については、「」を参照してください。組織の証跡の作成.

  5. [Storage location] で、[Create new S3 bucket] を選択してバケットを作成します。新しいバケットを作成すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。

    注記

    [既存の S3 バケットの使用] を選択した場合は、[Trail ログバケット名] でバケットを指定するか、[参照] を選択してバケットを選択します。バケットポリシーでは、バケットへの書き込み権限を CloudTrail に付与する必要があります。バケットポリシーを手動で編集する方法については、 を参照してください。CloudTrail の Amazon S3 バケットのポリシー.

    ログを見つけやすくするために、 ログを保存するために既存のバケットに新しいフォルダ (プレフィックスCloudTrailとも呼ばれます) を作成します。[プレフィックス] にプレフィックスを入力します。

  6. SSE-S3 の代わりに SSE-KMS を使用してログファイルを暗号化する場合は、[Log file SSE-KMS encryption] で [Enabled] を選択します。デフォルトは [Enabled] です。この暗号化タイプの詳細については、「 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護Amazon S3」を参照してください。

    SSE-KMS 暗号化を有効にする場合は、[New (新規)] または [Existing (既存)] カスタマーマスターキーを選択します。AWS KMS[エイリアスAWS KMS] で、 の形式でエイリアスを指定します。alias/MyAliasName。 詳細については、「CMK を使用するために証跡を更新する」を参照してください。

    注記

    別のアカウントのキーの ARN を入力することもできます。詳細については、「」を参照してください。CMK を使用するために証跡を更新する. キーポリシーでは、CloudTrail がキーを使用してログファイルを暗号化することと、指定したユーザーが暗号化されていない形式でログファイルを読み取ることを許可する必要があります。キーポリシーを手動で編集する方法については、 を参照してください。CloudTrail の AWS KMS キーポリシーの設定.

  7. [追加設定] で、以下を設定します。

    1. [Log file validation (ログファイルの検証)] で、[Enabled (有効)] を選択して、S3 バケットにログダイジェストが配信されるようにします。ダイジェストファイルは、ログファイルが CloudTrail に配信された後に変更されていないことを確認するために使用できます。詳細については、「」を参照してください。CloudTrail ログファイルの整合性の検証.

    2. [SNS 通知配信] で、[有効] を選択して、ログがバケットに配信されるたびに通知を受け取ります。CloudTrail は、複数のイベントをログファイルに保存します。SNS 通知は、ログファイルごとに送信されます (イベントごとではありません)。詳細については、「」を参照してください。CloudTrail の Amazon SNS 通知の設定.

      SNS 通知を有効にする場合、[Create a new SNS topic] で [New] を選択してトピックを作成するか、[Existing] を選択して既存のトピックを使用します。すべてのリージョンに適用される証跡を作成した場合、すべてのリージョンからのログファイル配信を知らせる SNS 通知は、ユーザーが作成した単一の SNS トピックに送信されます。

      [New (新規)] を選択すると、CloudTrail は新しいトピックの名前を指定するか、名前を入力することができます。[Existing (既存)] を選択した場合は、ドロップダウンリストから SNS トピックを選択します。別のリージョンにあるトピックの ARN を入力したり、適切なアクセス許可を持ったアカウントにあるトピックの ARN を入力することもできます。詳細については、「」を参照してください。Amazon SNS の トピックポリシーCloudTrail.

      トピックを作成する場合は、ログファイル配信の通知を受けるトピックを受信登録する必要があります。受信登録は Amazon SNS コンソールから行うことができます。通知頻度の都合上、受信登録については、Amazon SQS キューを使用して通知をプログラムで処理するように設定することをお勧めします。詳細については、「」を参照してください。Amazon Simple Notification Service 入門ガイド.

  8. オプションで、[CloudTrailCloudWatch Logs] で [有効] を選択して、 にログファイルを送信するように CloudWatch Logs を設定します。詳細については、「」を参照してください。 にイベントを送信するCloudWatch Logs.

    1. との統合を有効にする場合、[CloudWatch LogsNew (新規)] を選択して新しいロググループを作成するか、[Existing (既存)] を選択して既存のロググループを使用します。[New (新規)] を選択した場合、CloudTrail で新しいロググループの名前が指定されます。または、名前を入力することもできます。

    2. [Existing (既存)] を選択した場合は、ドロップダウンリストからロググループを選択します。

    3. [New (新規)] を選択して、ログを IAM に送信するアクセス許可の新しい CloudWatch Logs ロールを作成します。[Existing (既存)] を選択して、ドロップダウンリストから既存の IAM ロールを選択します。新規または既存のロールのポリシーステートメントは、[ポリシードキュメント] を展開すると表示されます。詳細については、「」を参照してください。CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント.

      注記

      証跡を設定する際には、別のアカウントに属している S3 バケットや SNS トピックを選択することもできます。ただし、CloudTrail から CloudWatch Logs ロググループにイベントを配信する場合は、現在のアカウント内に存在するロググループを選択する必要があります。

  9. [タグ] で、1 つまたは複数のカスタムタグ (キーと値のペア) を証跡に追加します。タグは、CloudTrail 証跡と、Amazon S3 ログファイルを含む CloudTrail バケットの両方を識別するのに役立ちます。その後、CloudTrail リソースのリソースグループを使用できます。詳細については、「AWS リソースグループ」および「証跡にタグを使用する理由.」を参照してください。

  10. [Choose log events (ログイベントの選択)] ページで、ログを記録するイベントタイプを選択します。[Management events (管理イベント)] で、以下の操作を行います。

    1. [API activity (API アクティビティ)] で、証跡で [Read (読み取り)] イベントを記録するか、[Write (書き込み)] イベントを記録するか、その両方を記録するかを選択します。詳細については、「」を参照してください。管理イベント.

    2. [ イベントの除外AWS KMS] を選択して、証跡から (AWS Key Management Service) イベントをフィルタリングします。AWS KMSデフォルト設定では、すべての AWS KMS イベントが含まれます。

      イベントをログ記録または除外するオプションは、証跡の管理イベントをログ記録する場合にのみ使用できます。AWS KMS管理イベントをログに記録しないことを選択すると、AWS KMS イベントはログに記録されず、AWS KMS イベントログ設定を変更できなくなります。

      通常、AWS KMS、EncryptDecrypt などの GenerateDataKey アクションは、大容量イベント (99% 以上) を生成します。これらのアクションは、[読み取り] イベントとして記録されるようになりました。、AWS KMS、Disable などの少量の関連する Delete アクション (通常は ScheduleKey イベントボリュームの 0.5% 未満) は、[AWS KMS書き込み] イベントとしてログに記録されます。

      EncryptDecrypt などの大容量イベントを除外するが、GenerateDataKeyDisableDelete などの関連イベントを引き続きログに記録するには、[ScheduleKey書き込み] 管理イベントをログに記録するよう選択し、[Exclude eventsAWS KMS] のチェックボックスをオフにします。

  11. [Data events (データイベント)] では、Amazon S3 バケット、AWS Lambda 関数、またはこれらのリソースタイプの組み合わせのデータイベントのログ記録を指定できます。デフォルトでは、証跡はデータイベントを記録しません。データイベントのログ記録には追加料金が適用されます。詳細については、「」を参照してください。データイベント. CloudTrail の料金については、「AWS CloudTrail 料金表.」を参照してください。

    Amazon S3 バケットで、以下のように行います。

    1. [Data event source] で、[S3] を選択します。

    2. [All current and future S3 buckets (現在および将来のすべての S3 バケット)] を記録するか、バケットまたは関数を個々に指定するかを選択できます。デフォルトでは、現在および将来のすべての S3 バケットのデータイベントが記録されます。

      注記

      デフォルトの [All current and future S3 buckets (現在および将来のすべての S3 バケット)] オプションを維持すると、現在ご使用の AWS アカウント内のすべてのバケット、および証跡作成後に作成するすべてのバケットで、データイベントのログ記録が有効になります。このアクティビティが、別の AWS アカウントに属するバケットで実行されている場合でも、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も行うことができます。

      単一リージョンで証跡を作成している場合 (AWS CLI を使用して実行)、[All current and future S3 buckets (現在および将来のすべての S3 バケット)] を選択すると、証跡と同じリージョン内のすべてのバケットや、そのリージョンで後で作成するバケットのデータイベントのログ記録が有効になります。Amazon S3 アカウント内の他のリージョンの AWS バケットのデータイベントは記録されません。

    3. デフォルトの [All current and future S3 buckets (現在および将来のすべての S3 バケット)] のままにする場合は、[Read (読み取り)] イベント、[Write (書き込み)] イベント、またはその両方を記録することを選択します。

    4. 個々のバケットを選択するには、[All current and future S3 buckets] の [Read] および [Write] チェックボックスをオフにします。[Individual bucket selection (個々のバケットの選択)] で、データイベントを記録するバケットを参照します。目的のバケットのバケットプレフィックスを入力して、特定のバケットを見つけます。このウィンドウでは、複数のバケットを選択できます。他のバケットのデータイベントをログ記録するには、[Add bucket (バケットを追加)] を選択します。[読み取り] イベント (例: GetObject) か、[書き込み] イベント (例: PutObject)、または両方を記録します。

      この設定は、個別のバケットに設定した個々の設定よりも優先されます。たとえば、すべての S3 バケットにログ記録 [読み取り] イベントを指定し、データイベントログ記録に特定のバケットの追加を選択した場合、追加したバケットには既に [読み取り] が設定されています。選択を解除することはできません。書き込み.] のオプションしか設定することができません。

      ログ記録からバケットを削除するには、[X] を選択します。

  12. データイベントをログに記録する別のデータ型を追加するには、[Add data event type] を選択します。

  13. Lambda 関数で、以下のように行います。

    1. [Data event source] で、[Lambda] を選択します。

    2. [ 関数Lambda] で、[すべてのリージョン] を選択してすべての 関数を記録するか、[LambdaInput function as ARN (入力関数を ARN として記録)] を選択して特定の関数でデータイベントをログに記録します。

      Lambda アカウントのすべての AWS 関数に対するデータイベントを記録するには、[Log all current and future functions (現在および将来の関数をすべて記録する).] を選択します。この設定は、関数に個々に設定した各設定よりも優先されます。すべての関数が表示されていなくても、関数はすべてログ記録されます。

      注記

      すべてのリージョンで証跡を作成している場合は、この選択によって、AWS アカウントの現時点のすべての関数や、証跡作成後に任意のリージョンに作成する可能性のある Lambda 関数のデータイベントのログ記録が有効になります。単一リージョンで証跡を作成している場合 (AWS CLI を使用して行った場合)、この選択により、AWS アカウントの対象リージョンの現時点のすべての関数や、証跡作成後に対象リージョンに作成する可能性のある Lambda 関数のデータイベントのログ記録が有効になります。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

      このアクティビティが、その他の AWS アカウントに属する関数で実行されている場合でも、すべての関数のデータイベントのログ記録を行うと、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も有効になります。

    3. [Input function as ARN] を選択した場合は、Lambda 関数の ARN を入力します。

      注記

      15,000 を超える Lambda 関数がアカウントに存在する場合は、証跡作成時に CloudTrail コンソールですべての関数を表示または選択することはできません。表示されていない場合でも、すべての関数をログ記録するオプションを選択することができます。特定の関数のデータイベントをログ記録する場合、ARN が分かれば、関数を手動で追加することができます。コンソールで証跡を作成したら、AWS CLI や put-event-selectors コマンドを使用して、特定の Lambda 関数のデータイベントのログ記録を設定することもできます。詳細については、「」を参照してください。を使用した証跡の管理AWS CLI.

  14. 証跡で Insights イベントを記録する場合は、[インサイトイベントCloudTrail] を選択します。

    [イベントタイプ] で、[インサイトイベント] を選択します。インサイトイベントを記録するには、[書き込み] 管理イベントをログ記録する必要があります。

    CloudTrail Insights は、異常なアクティビティについて管理の [書き込み] イベントを分析し、異常が検出されたときにイベントをログに記録します。デフォルトでは、証跡はインサイトイベントを記録しません。インサイトイベントの詳細については、「」を参照してください。証跡のインサイトイベントの記録. インサイトイベントの記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金表.」を参照してください。

    Insights events は、証跡詳細ページの [/CloudTrail-InsightStorage location (保存場所)] 領域で指定されているのと同じ S3 バケットの という名前の別のフォルダに配信されます。CloudTrail によって新しいプレフィックスが作成されます。たとえば、現在の送信先 S3 バケットの名前が S3bucketName/AWSLogs/CloudTrail/ の場合、新しいプレフィックスが付いた S3 バケットの名前は S3bucketName/AWSLogs/CloudTrail-Insight/. になります。

  15. ログ記録するイベントタイプの選択が完了したら、[Next] を選択します。

  16. [Review and create (確認と作成)] ページで選択内容を確認します。セクションで [編集] を選択して、そのセクションに表示される証跡の設定を変更します。証跡を作成する準備ができたら、[Create trail (証跡の作成)] を選択します。

  17. 新しい証跡が [Trails] ページに表示されます。[Trails (証跡)] ページには、すべてのリージョンを対象に、アカウント内の証跡が表示されます。約 15 分で CloudTrail によってログファイルが発行され、アカウント内で実行された AWS API コールが表示されます。ユーザーは、指定した S3 バケット内のログファイルを確認することができます。インサイトイベントログを有効にしていて、異常なアクティビティが検出された場合、CloudTrail が最初のインサイトイベントを配信するまでに最大 36 時間かかることがあります。

注記

CloudTrail は通常、API 呼び出しの平均約 15 分以内にログを配信します。この時間は保証されません。詳細については、「 のサービスレベルアグリーメント (SLA)AWS CloudTrail」を参照してください。証跡の作成後に証跡名を変更することはできません。ただし、証跡を削除して新しい証跡を作成することは可能です。

コンソールで、すべての AWS リージョンのイベントをログに記録する証跡を作成します。これは推奨されるベストプラクティスです。単一のリージョンでイベントを記録するには (推奨されません)、 を使用しますAWS CLI。

高度なイベントセレクタを有効にしている場合は、以下の手順を使用します。基本的なデータイベントセレクタを使用する場合は、「コンソールでの証跡の作成 (基本イベントセレクタ)」を参照して証跡のデータイベントのログ記録を設定します。

CloudTrail を使用して AWS マネジメントコンソール 証跡を作成するには

  1. AWS マネジメントコンソール にサインインした後、https://console.aws.amazon.com/cloudtrail/ にある CloudTrail コンソールを開きます。

  2. サービスのホームページ、CloudTrail証跡 ページ、または [ダッシュボード] ページの [証跡] セクションで、[証跡の作成] を選択します。

  3. [Create Trail] ページの [Trail name] に、証跡の名前を入力します。詳細については、「」を参照してください。CloudTrail 証跡の命名要件.

  4. これが AWS Organizations 組織の証跡の場合、組織内のすべてのアカウントに対して証跡を有効にすることを選択できます。このオプションは、管理アカウントの IAM ユーザーまたはロールでコンソールにサインインしている場合にのみ表示されます。組織の証跡を正しく作成するには、ユーザーまたはロールに十分なアクセス許可.があることを確認してください。詳細については、「」を参照してください。組織の証跡の作成.

  5. [Storage location] で、[Create new S3 bucket] を選択してバケットを作成します。新しいバケットを作成すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。

    注記

    [既存の S3 バケットの使用] を選択した場合は、[Trail ログバケット名] でバケットを指定するか、[参照] を選択してバケットを選択します。バケットポリシーでは、バケットへの書き込み権限を CloudTrail に付与する必要があります。バケットポリシーを手動で編集する方法については、 を参照してください。CloudTrail の Amazon S3 バケットのポリシー.

    ログを見つけやすくするために、 ログを保存するために既存のバケットに新しいフォルダ (プレフィックスCloudTrailとも呼ばれます) を作成します。[プレフィックス] にプレフィックスを入力します。

  6. SSE-S3 の代わりに SSE-KMS を使用してログファイルを暗号化する場合は、[Log file SSE-KMS encryption (ログファイル SSE-KMS 暗号化)] で [Enabled (有効)] を選択します。デフォルトは [Enabled] です。この暗号化タイプの詳細については、「 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護Amazon S3」を参照してください。

    SSE-KMS 暗号化を有効にする場合は、[New (新規)] または [Existing (既存)] カスタマーマスターキーを選択します。AWS KMS[ エイリアスAWS KMS] で、 の形式でエイリアスを指定します。alias/MyAliasName。 詳細については、「CMK を使用するために証跡を更新する」を参照してください。

    注記

    別のアカウントのキーの ARN を入力することもできます。詳細については、「」を参照してください。CMK を使用するために証跡を更新する. キーポリシーでは、CloudTrail がキーを使用してログファイルを暗号化することと、指定したユーザーが暗号化されていない形式でログファイルを読み取ることを許可する必要があります。キーポリシーを手動で編集する方法については、 を参照してください。CloudTrail の AWS KMS キーポリシーの設定.

  7. [追加設定] で、以下を設定します。

    1. [Log file validation (ログファイルの検証)] で、[Enabled (有効)] を選択して、S3 バケットにログダイジェストが配信されるようにします。ダイジェストファイルは、ログファイルが CloudTrail に配信された後に変更されていないことを確認するために使用できます。詳細については、「」を参照してください。CloudTrail ログファイルの整合性の検証.

    2. [SNS 通知配信] で、[有効] を選択して、ログがバケットに配信されるたびに通知を受け取ります。CloudTrail は、複数のイベントをログファイルに保存します。SNS 通知は、ログファイルごとに送信されます (イベントごとではありません)。詳細については、「」を参照してください。CloudTrail の Amazon SNS 通知の設定.

      SNS 通知を有効にする場合、[Create a new SNS topic] で [New] を選択してトピックを作成するか、[Existing] を選択して既存のトピックを使用します。すべてのリージョンに適用される証跡を作成した場合、すべてのリージョンからのログファイル配信を知らせる SNS 通知は、ユーザーが作成した単一の SNS トピックに送信されます。

      [新規] を選択すると、CloudTrail によって新しいトピックの名前が指定されます。または、名前を入力することもできます。[Existing (既存)] を選択した場合は、ドロップダウンリストから SNS トピックを選択します。別のリージョンにあるトピックの ARN を入力したり、適切なアクセス許可を持ったアカウントにあるトピックの ARN を入力することもできます。詳細については、「」を参照してください。Amazon SNS の トピックポリシーCloudTrail.

      トピックを作成する場合は、ログファイル配信の通知を受けるトピックを受信登録する必要があります。受信登録は Amazon SNS コンソールから行うことができます。通知頻度の都合上、受信登録については、Amazon SQS キューを使用して通知をプログラムで処理するように設定することをお勧めします。詳細については、「」を参照してください。Amazon Simple Notification Service 入門ガイド.

  8. オプションで、[CloudTrailCloudWatch Logs] で [有効] を選択して、 にログファイルを送信するように CloudWatch Logs を設定します。詳細については、「」を参照してください。 にイベントを送信するCloudWatch Logs.

    1. との統合を有効にする場合、[CloudWatch LogsNew (新規)] を選択して新しいロググループを作成するか、[Existing (既存)] を選択して既存のロググループを使用します。[New (新規)] を選択すると、CloudTrail は新しいロググループの名前を指定するか、名前を入力します。

    2. [Existing (既存)] を選択した場合は、ドロップダウンリストからロググループを選択します。

    3. [New (新規)] を選択して、ログを IAM に送信するアクセス許可の新しい CloudWatch Logs ロールを作成します。[Existing (既存)] を選択して、ドロップダウンリストから既存の IAM ロールを選択します。新規または既存のロールのポリシーステートメントは、[ポリシードキュメント] を展開すると表示されます。詳細については、「」を参照してください。CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント.

      注記

      証跡を設定する際には、別のアカウントに属している S3 バケットや SNS トピックを選択することもできます。ただし、CloudTrail から CloudWatch Logs ロググループにイベントを配信する場合は、現在のアカウント内に存在するロググループを選択する必要があります。

  9. [タグ] で、1 つまたは複数のカスタムタグ (キーと値のペア) を証跡に追加します。タグは、CloudTrail 証跡と、Amazon S3 ログファイルを含む CloudTrail バケットの両方を識別するのに役立ちます。その後、CloudTrail リソースのリソースグループを使用できます。詳細については、「AWS リソースグループ」および「証跡にタグを使用する理由.」を参照してください。

  10. [Choose log events (ログイベントの選択)] ページで、ログを記録するイベントタイプを選択します。[Management events (管理イベント)] で、以下の操作を行います。

    1. [API activity (API アクティビティ)] で、証跡で [Read (読み取り)] イベントを記録するか、[Write (書き込み)] イベントを記録するか、その両方を記録するかを選択します。詳細については、「」を参照してください。管理イベント.

    2. [ イベントの除外AWS KMS] を選択して、証跡から (AWS Key Management Service) イベントをフィルタリングします。AWS KMSデフォルト設定では、すべての AWS KMS イベントが含まれます。

      イベントをログ記録または除外するオプションは、証跡の管理イベントをログ記録する場合にのみ使用できます。AWS KMS管理イベントをログに記録しないことを選択すると、AWS KMS イベントはログに記録されず、AWS KMS イベントログ設定を変更できなくなります。

      通常、AWS KMS、EncryptDecrypt などの GenerateDataKey アクションは、大容量イベント (99% 以上) を生成します。これらのアクションは、[読み取り] イベントとして記録されるようになりました。、AWS KMS、Disable などの少量の関連する Delete アクション (通常は ScheduleKey イベントボリュームの 0.5% 未満) は、[AWS KMS書き込み] イベントとしてログに記録されます。

      EncryptDecrypt などの大容量イベントを除外するが、GenerateDataKeyDisableDelete などの関連イベントを引き続きログに記録するには、[ScheduleKey書き込み] 管理イベントをログに記録するよう選択し、[Exclude eventsAWS KMS] のチェックボックスをオフにします。

  11. データイベントをログに記録するには、[Data events] を選択します。

  12. [Data event type (データイベントタイプ)] で、ログ記録するデータイベントリソースタイプ (S3 バケット、AWS Outposts の S3 オブジェクト、または Lambda 関数) を選択します。

  13. ログセレクタテンプレートを選択します。CloudTrail には、リソースタイプのすべてのデータイベントを記録する事前定義されたテンプレートが含まれています。カスタムログセレクタテンプレートを構築するには、[カスタム] を選択します。

    注記

    S3 バケットの事前定義されたテンプレートを選択すると、AWS アカウントの現時点のすべてのバケットや、証跡作成後に作成する任意のバケットのデータイベントのログ記録が有効になります。このアクティビティが、別の AWS アカウントに属するバケットで実行されている場合でも、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も行うことができます。

    証跡が 1 つのリージョンにのみ適用される場合は、すべての S3 バケットをログに記録する事前定義されたテンプレートを選択すると、証跡と同じリージョン内のすべてのバケット、およびそのリージョンの後で作成するバケットのデータイベントのログ記録が有効になります。Amazon S3 アカウント内の他のリージョンの AWS バケットのデータイベントは記録されません。

    すべてのリージョンで証跡を作成している場合は、Lambda 関数の事前定義されたテンプレートを選択すると、AWS アカウントの現時点のすべての関数や、証跡作成後に任意のリージョンに作成する可能性のある Lambda 関数のデータイベントのログ記録が有効になります。単一リージョンで証跡を作成している場合 (AWS CLI を使用して行います)、この選択により、AWS アカウントのリージョンに現在存在するすべての関数、および証跡作成後に対象リージョンに作成する可能性のある Lambda 関数のデータイベントのログ記録が有効になります。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

    このアクティビティが、その他の AWS アカウントに属する関数で実行されている場合でも、すべての関数のデータイベントのログ記録を行うと、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も有効になります。

  14. 事前定義されたログセレクタテンプレートを適用し、別のデータイベントリソースタイプを追加しない場合は、ステップ 18 に進みます。カスタムログセレクタテンプレートを適用するには、次のステップに進みます。

  15. カスタムログセレクタテンプレートを作成するには、[Log selector template] (ログセレクタテンプレート) ドロップダウンリストで [Custom] (カスタム) を選択します。

  16. カスタムログセレクタテンプレートの名前を入力します。

  17. [Advanced event selectors (高度なイベントセレクタ)] で、データイベントをログに記録する特定の S3 バケット、AWS Outposts の S3 オブジェクト、または Lambda 関数用の式を構築します。

    1. 次のフィールドから選択します。配列 (2 つ以上の値) を受け入れるフィールドの場合、CloudTrail は値間に OR を追加します。

      • [readOnly] - は、readOnly または の値を [Equalstrue] に設定できます。false 読み取り専用のデータイベントは、Get*Describe* イベントなど、リソースの状態を変更しないイベントです。書き込みイベントは、Put*Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。

      • eventName - では任意の演算子を使用できます。eventNameや CloudTrail など、PutBucket に記録されたデータイベントを含めるか除外するために使用できます。PutItem このフィールドには、複数の値をカンマで区切って含めることができます。

      • resources.type - このフィールドは必須です。resources.type は [Equals (等号)] 演算子のみを使用することができ、値は次のいずれかになります。[AWS::S3::Object]、[AWS::S3Outposts::Object]、[AWS::Lambda::Function]。

      • resources.ARN - では任意の演算子を使用できますが、[resources.ARNEquals] または [NotEquals] を使用する場合、値はテンプレートで の値として指定したタイプの有効なリソースの ARN と完全に一致する必要があります。resources.type たとえば、resources.typeAWS::S3::Object と等しくなる場合、ARN は以下のいずれかの形式である必要があります。末尾のスラッシュは意図的なものです。除外しないでください。 

        arn:partition:s3:::bucket_name/
arn:partition:s3:::bucket_name/object_or_file_name/

        resources.typeAWS::S3OutpostsS3Outposts と等しく、演算子が [Equals] または [NotEquals] に設定されている場合、ARN は次の形式である必要があります。

        arn:partition:s3-outposts:region:account_ID:object_path

        resources.typeAWS::Lambda::Function と等しく、演算子が [Equals] または [NotEquals] に設定されている場合、ARN は次の形式である必要があります。

        arn:partition:lambda:region:account_ID:function:function_name

      データイベントリソースの ARN 形式の詳細については、 ユーザーガイドAmazon S3の「 で定義されるリソースタイプ」および「AWS Lambda で定義されるリソースタイプ」を参照してください。AWS Identity and Access Management

    2. 各フィールドで、[+ Conditions] を選択して必要な数だけ条件を追加します。すべての条件について、指定した最大 500 個の値まで追加できます。たとえば、証跡に記録されたデータイベントから 2 つの S3 バケットのデータイベントを除外するには、フィールドを [resources.ARN] に設定し、[NotEquals] の演算子を設定してから、S3 バケット ARN に貼り付けるか、イベントを記録しない S3 バケットを参照します。

      2 番目の S3 バケットを追加するには、[+ Conditions] を選択し、上記の手順を繰り返します。その際、別のバケットの ARN を貼り付けるか参照します。

      注記

      証跡のすべてのセレクタに対して最大 500 個の値を設定できます。これには、eventName などのセレクタの複数の値の配列が含まれます。 すべてのセレクタに 1 つの値がある場合、セレクタに最大 500 個の条件を追加できます。

      15,000 を超える Lambda 関数がアカウントに存在する場合は、証跡作成時に CloudTrail コンソールですべての関数を表示または選択することはできません。あらかじめ定義されたセレクタテンプレートを使用して、すべての関数をログに記録できます。記録されない場合でも可能です。特定の関数のデータイベントをログ記録する場合、ARN が分かれば、関数を手動で追加することができます。コンソールで証跡を作成したら、AWS CLI や put-event-selectors コマンドを使用して、特定の Lambda 関数のデータイベントのログ記録を設定することもできます。詳細については、「」を参照してください。を使用した証跡の管理AWS CLI.

    3. [+ Field (+ フィールド)] を選択して、必要に応じてフィールドを追加します。エラーを回避するために、フィールドに対して競合する値や重複する値を設定しないでください。たとえば、あるセレクタの ARN を値と等しくならないように指定してから、その ARN を別のセレクタの同じ値と等しくならないように指定します。

    4. [次へ] を選択して、カスタムセレクタテンプレートへの変更を保存します。別のログセレクタテンプレートを選択しないでください。このページを離れると、カスタムセレクタは失われます。

    5. データイベントをログに記録する別のデータ型を追加するには、[Add data event type] を選択します。データイベントタイプの高度なイベントセレクタを設定するには、ステップ 12 からこのステップを繰り返します。

  18. 証跡で Insights イベントを記録する場合は、[インサイトイベントCloudTrail] を選択します。

    [イベントタイプ] で、[インサイトイベント] を選択します。インサイトイベントを記録するには、[書き込み] 管理イベントをログ記録する必要があります。

    CloudTrail Insights は、異常なアクティビティについて管理の [書き込み] イベントを分析し、異常が検出されたときにイベントをログに記録します。デフォルトでは、証跡はインサイトイベントを記録しません。インサイトイベントの詳細については、「」を参照してください。証跡のインサイトイベントの記録. インサイトイベントの記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金表.」を参照してください。

    Insights events は、証跡詳細ページの [/CloudTrail-InsightStorage location (保存場所)] 領域で指定されているのと同じ S3 バケットの という名前の別のフォルダに配信されます。CloudTrail によって新しいプレフィックスが作成されます。たとえば、現在の送信先 S3 バケットの名前が S3bucketName/AWSLogs/CloudTrail/ の場合、新しいプレフィックスが付いた S3 バケットの名前は S3bucketName/AWSLogs/CloudTrail-Insight/. になります。

  19. ログ記録するイベントタイプの選択が完了したら、[次へ] を選択します。

  20. [Review and create (確認と作成)] ページで選択内容を確認します。そのセクションで示されている証跡の設定を変更するには、セクションの [編集] を選択します。証跡を作成する準備ができたら、[Create trail (証跡の作成)] を選択します。

  21. 新しい証跡が [Trails] ページに表示されます。[Trails (証跡)] ページには、すべてのリージョンを対象に、アカウント内の証跡が表示されます。約 15 分で CloudTrail によってログファイルが発行され、アカウント内で実行された AWS API コールが表示されます。ユーザーは、指定した S3 バケット内のログファイルを確認することができます。インサイトイベントログを有効にしていて、異常なアクティビティが検出された場合、CloudTrail が最初のインサイトイベントを配信するまでに最大 36 時間かかることがあります。

    注記

    CloudTrail は通常、API 呼び出しの平均約 15 分以内にログを配信します。この時間は保証されません。詳細については、「 のサービスレベルアグリーメント (SLA)AWS CloudTrail」を参照してください。

次のステップ

証跡を作成したら、証跡に戻って次の変更を加えることができます。