証跡の作成 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

証跡の作成

手順に従って、すべてのリージョンに適用される証跡を作成します。すべてのリージョンに適用される証跡は、すべてのリージョンのログファイルを S3 バケットに配信します。証跡を作成すると、指定したイベントのログ記録が AWS CloudTrail によって自動的に開始されます。

注記

証跡を作成したら、その他の AWS サービスを設定して、CloudTrail ログで収集されたデータをより詳細に分析し、それに基づく対応を行うことができます。詳細については、「CloudTrail のサポート対象サービスと統合」を参照してください。

コンソールで、すべての AWS リージョンのイベントをログに記録する証跡を作成します。有効化。これは推奨されるベストプラクティスです。1 つのリージョンでイベントを記録するには (推奨されません)、AWS CLI の使用

拡張イベントセレクタをまだ有効にしていない場合は、次の手順を使用します。高度なイベントセレクターが有効になっている場合は、コンソールで証跡を作成する (高度なイベントセレクタ)を使用して、証跡にデータイベントログを設定します。

AWS マネジメントコンソールで CloudTrail 証跡を作成するには

  1. AWS マネジメントコンソールにサインインし、で CloudTrail コンソールを開きます。https://console.aws.amazon.com/cloudtrail/

  2. CloudTrail サービスのホームページでは、証跡[] ページ、または証跡の セクションダッシュボードページで [] を選択します。証跡の作成

  3. [Create Trail (証跡の作成)] ページの [Trail name (証跡名)] に証跡の名前を入力します。詳細については、「CloudTrail の証跡の命名要件」を参照してください。

  4. これが AWS 組織の組織証跡である場合は、組織内のすべてのアカウントに対して証跡を有効化するように選択できます。このオプションは、管理アカウントの IAM ユーザーまたはロールでコンソールにサインインしている場合にのみ表示されます。組織の証跡を正しく作成するには、ユーザーまたはロールに十分なアクセス許可があることを確認してください。詳細については、「組織の証跡を作成します」を参照してください。

  5. を使用する場合ストレージの場所] で、新しい S3 バケットの作成バケットを作成するには。新しいバケットを作成すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。

    注記

    [] を選択した場合既存の S3 バケットの使用で、バケットをトレイルログバケット名を選択するか、参照バケットを選択します。バケットポリシーでは、バケットへの書き込み権限を CloudTrail に付与する必要があります。バケットポリシーを手動で編集する方法については、CloudTrail の Amazon S3 バケットポリシー を参照してください。

    ログを見つけやすくするために、新しいフォルダー (prefix) を使用して CloudTrail ログを保存できます。接頭辞をプレフィックス

  6. を使用する場合ログファイル SSE-KMS 暗号化] で、有効SSE-S3 を使用する代わりに SSE-KMS を使用してログファイルを暗号化する場合は、デフォルトは です。有効。この暗号化タイプの詳細については、Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護

    SSE-KMS 暗号化を有効にする場合は、[] を選択します。新規またはExistAWS KMS カスタマーマスターキー EclipseAWS KMS エイリアスで、エイリアスを指定します。alias/MyAliasName詳細については、「CMK を使用するために証跡を更新する」を参照してください。

    注記

    別のアカウントのキーの ARN を入力することもできます。キーポリシーでは、CloudTrail がキーを使用してログファイルを暗号化することと、指定したユーザーが暗号化されていない形式でログファイルを読み取ることを許可する必要があります。キーポリシーを手動で編集する方法については、CloudTrail 用の AWS KMS キーポリシーの設定 を参照してください。

  7. Eclipse追加設定以下を設定します。

    1. を使用する場合ログファイルの検証] で、有効S3 バケットにログダイジェストが配信されるようにします。ダイジェストファイルは、ログファイルが CloudTrail に配信された後に変更されていないことを確認するために使用できます。詳細については、「CloudTrail ログファイルの整合性の検証」を参照してください。

    2. を使用する場合SNS 通知の配信] で、有効ログがバケットに配信されるたびに通知を受ける場合は、[] で [] を選択します。CloudTrail は、1 つのログファイルに複数のイベントを保存します。SNS 通知は、ログファイルごとに送信されます (イベントごとではありません)。詳細については、「Amazon SNS の CloudTrail 通知の設定」を参照してください。

      SNS 通知を有効にすると、新しい SNS トピックの作成] で、新規トピックを作成するには、[] を選択します。Exist既存のトピックを使用するには、を使用します。すべてのリージョンに適用される証跡を作成した場合、すべてのリージョンからのログファイル配信を知らせる SNS 通知は、ユーザーが作成した単一の SNS トピックに送信されます。

      を選択すると、新規に設定されている場合、CloudTrail は新しいトピックの名前を指定するか、名前を入力できます。を選択すると、Existドロップダウンリストから SNS トピックを選択します。別のリージョンにあるトピックの ARN を入力したり、適切なアクセス許可を持ったアカウントにあるトピックの ARN を入力することもできます。詳細については、「CloudTrail の Amazon SNS トピックポリシー」を参照してください。

      トピックを作成する場合は、ログファイル配信の通知を受けるトピックを受信登録する必要があります。受信登録は Amazon SNS コンソールから行うことができます。通知頻度の都合上、受信登録については、Amazon SQS キューを使用して通知をプログラムで処理するように設定することをお勧めします。詳細については、『』を参照してください。Amazon Simple Notification Service 入門ガイド

  8. 必要に応じて、CloudTrail を設定して CloudWatch Logs にログファイルを送信するには、[有効[CloudWatch Logs]。詳細については、「CloudWatch Logs へのイベントの送信」を参照してください。

    1. CloudWatch Logs との統合を有効にする場合は、新規新しいロググループを作成するにはExist既存のテンプレートを使用します。を選択すると、新規CloudTrail によって新しいロググループの名前が指定されるか、名前を入力できます。

    2. を選択すると、Exist[] で、ドロップダウンリストからロググループを選択します。

    3. 選択新規CloudWatch Logs にログを送信するアクセス許可の新しい IAM ロールを作成します。選択Existドロップダウンリストから既存の IAM ロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、ポリシードキュメント。詳細については、「モニタリングに CloudWatch Logs を使用するための CloudTrail ロールポリシードキュメント」を参照してください。

      注記

      証跡を設定する際には、別のアカウントに属している S3 バケットや SNS トピックを選択することもできます。ただし、CloudTrail から CloudWatch Logs グループにイベントを配信する場合は、現在のアカウント内に存在するロググループを選択する必要があります。

  9. [タグ] で、1 つまたは複数のカスタムタグ (キーと値のペア) を証跡に追加します。タグは、CloudTrail 証跡と、CloudTrail ログファイルを含む Amazon S3 バケットの両方を識別するのに役立ちます。その後、CloudTrail リソースのリソースグループを使用できます。詳細については、「」を参照してください。AWS リソースグループおよび軌跡にタグを使用する理由

  10. リポジトリの []ログイベントの選択ページで、ログに記録するイベントタイプを選択します。[管理イベント] で、次の操作を行います。

    1. を使用する場合API アクティビティログ記録の対象として [] を選択します。Readイベント,書き込みイベント、またはその両方です。詳細については、「管理イベント」を参照してください。

    2. 選択AWS KMS イベントの除外証跡から AWS Key Management Service (AWS KMS) イベントをフィルタリングできます。デフォルト設定では、すべての AWS KMS イベントが含まれます。

      AWS KMS イベントをログに記録または除外するオプションは、管理イベントを記録する場合にのみ使用できます。管理イベントのログを記録しないことを選択した場合、AWS KMS イベントは記録されず、AWS KMS イベントログ設定を変更することはできません。

      AWS KMS のアクションEncryptDecrypt, およびGenerateDataKey通常、大容量イベント (99% 以上) を生成します。これらのアクションは、[Read (読み取り)] イベントとしてログに記録されるようになりました。低ボリュームで関連する AWS KMS アクション (DisableDelete, およびScheduleKey(通常は AWS KMS イベントボリュームの 0.5% 未満) は、書き込みイベント.

      のような大量のイベントを除外するにはEncryptDecrypt, およびGenerateDataKeyなどの関連イベントを記録しますが、DisableDeleteおよびScheduleKeyで、ログを選択します書き込み管理イベントで、[] のチェックボックスをオフにします。AWS KMS イベントの除外

  11. を使用する場合データイベントでは、Amazon S3 バケット、AWS Lambda 関数、Amazon DynamoDB テーブル、またはこれらのリソースタイプの組み合わせに対して、ログ記録を指定することができます。デフォルトでは、証跡はデータイベントを記録しません。データイベントのログ記録には追加料金が適用されます。詳細については、「データイベント」を参照してください。CloudTrail の料金については、AWS CloudTrail 料金。高度なイベントセレクターを使用する場合は、追加のデータイベントタイプを使用できます。詳細については、コンソールで証跡を作成する (高度なイベントセレクタ)このトピックで。

    Amazon S3 バケットの場合:

    1. を使用する場合データイベントソース] で、S3

    2. あなたは、ログに選択することができます現在および将来のすべての S3 バケットバケットまたは関数を個々に指定するオプションを選択することができます。デフォルトでは、現在および将来のすべての S3 バケットのデータイベントが記録されます。

      注記

      デフォルトを維持する現在および将来のすべての S3 バケットオプションを使用すると、現在ご使用の AWS アカウント内のすべてのバケットや、証跡作成後に作成する任意のバケットで、データイベントのログ記録を行うことができるようになります。このアクティビティが、別の AWS アカウントに属するバケットで実行されている場合でも、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も有効になります。

      1 つのリージョンの証跡を作成する場合(AWS CLI を使用)、現在および将来のすべての S3 バケット証跡として同じリージョン内のすべてのバケット、およびそのリージョンで後で作成するバケットに対して、データイベントのログ記録が証跡として有効になります。AWS アカウントの他のリージョンの Amazon S3 バケットのデータイベントは記録されません。

    3. デフォルトのままにすると、現在および将来のすべての S3 バケットで、ログを選択しますReadイベント,書き込みイベント、またはその両方です。

    4. 個々のバケットを選択するには、[] の [] を空にします。Readおよび書き込み] チェックボックスをオフにします。現在および将来のすべての S3 バケット。Eclipse個々のバケット選択で、データイベントをログに記録するバケットを参照します。目的のバケットのバケットプレフィックスを入力して、特定のバケットを検索します。このウィンドウで、複数のバケットを選択できます。選択バケットの追加より多くのバケットのデータイベントをログに記録します。[] を選択します。ReadイベントなどGetObject書き込みイベントなどPutObjectか、または両方となります。

      この設定は、個別のバケットに設定した個々の設定よりも優先されます。たとえば、すべての S3 バケットにログ記録 [読み取り] イベントを指定し、データイベントログ記録に特定のバケットの追加を選択した場合、追加したバケットには既に [読み取り] が設定されています。選択を解除することはできません。[書き込み] のオプションしか設定することができません。

      ログ記録からバケットを削除するには、X

  12. データイベントをログに記録する別のデータ型を追加するには、データイベントタイプの追加

  13. Lambda 関数の場合:

    1. を使用する場合データイベントソース] で、Lambda

    2. EclipseLambda 関数] で、すべてのリージョンを使用してすべての Lambda 関数をログに記録するか、ARN としての入力関数特定の関数でデータイベントをログに記録します。

      AWS アカウントのすべての Lambda 関数のデータイベントをログに記録するには、[現在および将来のすべての関数をログに記録する。この設定は、関数に個々に設定した各設定よりも優先されます。すべての関数が表示されていなくても、関数はすべてログ記録されます。

      注記

      すべてのリージョンで証跡を作成している場合は、この選択によって、AWS アカウントの現時点のすべての関数や、証跡作成後に任意のリージョンに作成する可能性のある Lambda 関数のデータイベントのログ記録が有効になります。単一リージョンで証跡を作成している場合は、この選択によって、AWS アカウントの現時点のすべての関数や、証跡作成後にそのリージョンに作成する可能性のある Lambda 関数のデータイベントのログ記録が有効になります。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

      このアクティビティが、別の AWS アカウントに属する関数で実行されている場合でも、すべての関数のデータイベントのログ記録を行うと、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も有効になります。

    3. を選択すると、ARN としての入力関数に、Lambda 関数の ARN を入力します。

      注記

      15,000 を超える Lambda 関数がアカウントに存在する場合は、証跡作成時に CloudTrail コンソールですべての関数を表示または選択することはできません。表示されていない場合でも、すべての関数をログ記録するオプションを選択することができます。特定の関数のデータイベントをログ記録する場合、ARN が分かれば、関数を手動で追加することができます。コンソールで証跡を作成したら、AWS CLI とput-event-selectorsコマンドを使用して、特定の Lambda 関数のデータイベントログを設定します。詳細については、「AWS CLI による証跡の管理」を参照してください。

  14. DynamoDB テーブルのテーブルの場合:

    1. を使用する場合データイベントソース] で、DynamoDB

    2. EclipseDynamoDB テーブルの選択] で、参照をクリックしてテーブルを選択するか、アクセス権を持つ DynamoDB テーブルの ARN に貼り付けます。DynamoDB テーブルの ARN は次の形式です。

      arn:partition:dynamodb:region:account_ID:table/table_name

      別のテーブルを追加するには、行を追加をクリックし、テーブルを参照するか、アクセス権のあるテーブルの ARN に貼り付けます。

  15. 選択インサイトイベント証跡で CloudTrail インサイトイベントをログに記録する場合。

    Eclipseイベントタイプ[] を選択し、インサイトイベント。ログ記録する必要があります書き込み管理イベントを使用して、インサイトイベントを記録します。

    CloudTrail インサイトが管理を分析する書き込みイベント、異常が検出された場合にイベントをログに記録します。デフォルトでは、証跡はインサイトイベントを記録しません。インサイトイベントの詳細については、「証跡のインサイトイベントの記録」を参照してください。インサイトイベントの記録には追加料金が適用されます。CloudTrail の料金については、AWS CloudTrail 料金

    インサイトイベントは、/CloudTrail-Insight[] で指定されている同じ S3 バケットのストレージの場所] 領域に移動します。CloudTrail によって新しいプレフィックスが作成されます。たとえば、現在の送信先 S3 バケットの名前が S3bucketName/AWSLogs/CloudTrail/ の場合、新しいプレフィックスが付いた S3 バケットの名前は S3bucketName/AWSLogs/CloudTrail-Insight/ になります。

  16. ログに記録するイベントタイプの選択が終了したら、

  17. リポジトリの []確認と作成ページで、選択内容を確認します。選択編集をクリックして、そのセクションに表示される基準線設定を変更します。証跡を作成する準備ができたら、[] を選択します。証跡の作成

  18. 新しい証跡が [Trails (証跡)] ページに表示されます。[Trails (証跡)] ページでは、すべてのリージョンを対象に、アカウント内の証跡が表示されます。約 15 分で CloudTrail によってログファイルが発行され、アカウント内で実行された AWS API 呼び出しが表示されます。ユーザーは、指定した S3 バケット内のログファイルを確認することができます。インサイトイベントログを有効にしていて、異常なアクティビティが検出された場合、CloudTrail が最初のインサイトイベントを配信するまでに最大 36 時間かかることがあります。

注記

CloudTrail は、通常、API 呼び出しの約 15 分以内にログ配信します。この時間は保証されません。[] を確認します。AWS CloudTrail のサービスレベルアグリーメント詳細については.

コンソールで、すべての AWS リージョンのイベントをログに記録する証跡を作成します。これは推奨されるベストプラクティスです。1 つのリージョンでイベントを記録するには (推奨されません)、AWS CLI の使用

高度なイベントセレクタを有効にした場合は、次の手順を使用します。基本的なデータイベントセレクタを使用する場合は、コンソールで証跡を作成する (基本的なイベントセレクタ)を使用して、証跡にデータイベントログを設定します。

AWS マネジメントコンソールで CloudTrail 証跡を作成するには

  1. AWS マネジメントコンソールにサインインし、で CloudTrail コンソールを開きます。https://console.aws.amazon.com/cloudtrail/

  2. CloudTrail サービスのホームページでは、証跡[] ページ、または証跡の セクションダッシュボードページで [] を選択します。証跡の作成

  3. [Create Trail (証跡の作成)] ページの [Trail name (証跡名)] に証跡の名前を入力します。詳細については、「CloudTrail の証跡の命名要件」を参照してください。

  4. これが AWS 組織の組織証跡である場合は、組織内のすべてのアカウントに対して証跡を有効化するように選択できます。このオプションは、管理アカウントの IAM ユーザーまたはロールでコンソールにサインインしている場合にのみ表示されます。組織の証跡を正しく作成するには、ユーザーまたはロールに十分なアクセス許可があることを確認してください。詳細については、「組織の証跡を作成します」を参照してください。

  5. を使用する場合ストレージの場所] で、新しい S3 バケットの作成バケットを作成するには。新しいバケットを作成すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。

    注記

    [] を選択した場合既存の S3 バケットの使用で、バケットをトレイルログバケット名を選択するか、参照バケットを選択します。バケットポリシーでは、バケットへの書き込み権限を CloudTrail に付与する必要があります。バケットポリシーを手動で編集する方法については、CloudTrail の Amazon S3 バケットポリシー を参照してください。

    ログを見つけやすくするために、新しいフォルダー (prefix) を使用して CloudTrail ログを保存できます。接頭辞をプレフィックス

  6. を使用する場合ログファイル SSE-KMS 暗号化] で、有効SSE-S3 を使用する代わりに SSE-KMS を使用してログファイルを暗号化する場合は、デフォルトは です。有効。この暗号化タイプの詳細については、Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護

    SSE-KMS 暗号化を有効にする場合は、[] を選択します。新規またはExistAWS KMS カスタマーマスターキー EclipseAWS KMS エイリアスで、エイリアスを指定します。alias/MyAliasName詳細については、「CMK を使用するために証跡を更新する」を参照してください。

    注記

    別のアカウントのキーの ARN を入力することもできます。詳細については、「CMK を使用するために証跡を更新する」を参照してください。キーポリシーでは、CloudTrail がキーを使用してログファイルを暗号化することと、指定したユーザーが暗号化されていない形式でログファイルを読み取ることを許可する必要があります。キーポリシーを手動で編集する方法については、CloudTrail 用の AWS KMS キーポリシーの設定 を参照してください。

  7. Eclipse追加設定以下を設定します。

    1. を使用する場合ログファイルの検証] で、有効S3 バケットにログダイジェストが配信されるようにします。ダイジェストファイルは、ログファイルが CloudTrail に配信された後に変更されていないことを確認するために使用できます。詳細については、「CloudTrail ログファイルの整合性の検証」を参照してください。

    2. を使用する場合SNS 通知の配信] で、有効ログがバケットに配信されるたびに通知を受ける場合は、[] で [] を選択します。CloudTrail は、1 つのログファイルに複数のイベントを保存します。SNS 通知は、ログファイルごとに送信されます (イベントごとではありません)。詳細については、「Amazon SNS の CloudTrail 通知の設定」を参照してください。

      SNS 通知を有効にすると、新しい SNS トピックの作成] で、新規トピックを作成するには、[] を選択します。Exist既存のトピックを使用するには、を使用します。すべてのリージョンに適用される証跡を作成した場合、すべてのリージョンからのログファイル配信を知らせる SNS 通知は、ユーザーが作成した単一の SNS トピックに送信されます。

      を選択すると、新規に設定されている場合、CloudTrail は新しいトピックの名前を指定するか、名前を入力できます。を選択すると、Existドロップダウンリストから SNS トピックを選択します。別のリージョンにあるトピックの ARN を入力したり、適切なアクセス許可を持ったアカウントにあるトピックの ARN を入力することもできます。詳細については、「CloudTrail の Amazon SNS トピックポリシー」を参照してください。

      トピックを作成する場合は、ログファイル配信の通知を受けるトピックを受信登録する必要があります。受信登録は Amazon SNS コンソールから行うことができます。通知頻度の都合上、受信登録については、Amazon SQS キューを使用して通知をプログラムで処理するように設定することをお勧めします。詳細については、『』を参照してください。Amazon Simple Notification Service 入門ガイド

  8. 必要に応じて、CloudTrail を設定して CloudWatch Logs にログファイルを送信するには、[有効[CloudWatch Logs]。詳細については、「CloudWatch Logs へのイベントの送信」を参照してください。

    1. CloudWatch Logs との統合を有効にする場合は、新規新しいロググループを作成するにはExist既存のテンプレートを使用します。を選択すると、新規CloudTrail によって新しいロググループの名前が指定されるか、名前を入力できます。

    2. を選択すると、Exist[] で、ドロップダウンリストからロググループを選択します。

    3. 選択新規CloudWatch Logs にログを送信するアクセス許可の新しい IAM ロールを作成します。選択Existドロップダウンリストから既存の IAM ロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、ポリシードキュメント。詳細については、「モニタリングに CloudWatch Logs を使用するための CloudTrail ロールポリシードキュメント」を参照してください。

      注記

      証跡を設定する際には、別のアカウントに属している S3 バケットや SNS トピックを選択することもできます。ただし、CloudTrail から CloudWatch Logs グループにイベントを配信する場合は、現在のアカウント内に存在するロググループを選択する必要があります。

  9. [タグ] で、1 つまたは複数のカスタムタグ (キーと値のペア) を証跡に追加します。タグは、CloudTrail 証跡と、CloudTrail ログファイルを含む Amazon S3 バケットの両方を識別するのに役立ちます。その後、CloudTrail リソースのリソースグループを使用できます。詳細については、「」を参照してください。AWS リソースグループおよび軌跡にタグを使用する理由

  10. リポジトリの []ログイベントの選択ページで、ログに記録するイベントタイプを選択します。[管理イベント] で、次の操作を行います。

    1. を使用する場合API アクティビティログ記録の対象として [] を選択します。Readイベント,書き込みイベント、またはその両方です。詳細については、「管理イベント」を参照してください。

    2. 選択AWS KMS イベントの除外証跡から AWS Key Management Service (AWS KMS) イベントをフィルタリングできます。デフォルト設定では、すべての AWS KMS イベントが含まれます。

      AWS KMS イベントをログに記録または除外するオプションは、管理イベントを記録する場合にのみ使用できます。管理イベントのログを記録しないことを選択した場合、AWS KMS イベントは記録されず、AWS KMS イベントログ設定を変更することはできません。

      AWS KMS のアクションEncryptDecrypt, およびGenerateDataKey通常、大容量イベント (99% 以上) を生成します。これらのアクションは、[Read (読み取り)] イベントとしてログに記録されるようになりました。低ボリュームで関連する AWS KMS アクション (DisableDelete, およびScheduleKey(通常は AWS KMS イベントボリュームの 0.5% 未満) は、書き込みイベント.

      のような大量のイベントを除外するにはEncryptDecrypt, およびGenerateDataKeyなどの関連イベントを記録しますが、DisableDeleteおよびScheduleKeyで、ログを選択します書き込み管理イベントで、[] のチェックボックスをオフにします。AWS KMS イベントの除外

  11. データイベントをログに記録するには、データイベント

  12. を使用する場合データイベントタイプで、ログに記録するデータイベントリソースタイプ(S3 バケット、AWS Outposts の S3 オブジェクト、Amazon Managed Blockchain ノード、Lambda 関数、DynamoDBTables、または S3 Object Lambda アクセスポイント)を選択します。

  13. ログ選択テンプレートを選択します。CloudTrail には、リソースタイプのすべてのデータイベントをログに記録する定義済みのテンプレートが含まれています。カスタムログセレクターテンプレートを作成するには、Custom

    注記

    S3 バケットの事前定義されたテンプレートを選択すると、現在ご使用の AWS アカウント内のすべてのバケットや、証跡作成後に作成する任意のバケットで、データイベントのログ記録を行うことができるようになります。このアクティビティが、別の AWS アカウントに属するバケットで実行されている場合でも、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も有効になります。

    証跡が 1 つのリージョンにのみ適用される場合、すべての S3 バケットを記録する定義済みのテンプレートを選択すると、同じリージョン内のすべてのバケット、およびそのリージョンで後で作成するバケットに対して、データイベントのログ記録が証跡として有効になります。AWS アカウントの他のリージョンの Amazon S3 バケットのデータイベントは記録されません。

    すべてのリージョンで証跡を作成している場合は、Lambda 関数の定義済みのテンプレートを選択すると、現在ご使用の AWS アカウント内のすべての関数や、証跡作成後に任意のリージョンに作成する可能性のある Lambda 関数のデータイベントのログ記録が証跡として有効になります。単一リージョンで証跡を作成している場合は、この選択によって、AWS アカウントの現時点のすべての関数や、証跡作成後にそのリージョンに作成する可能性のある Lambda 関数のデータイベントのログ記録が有効になります。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

    このアクティビティが、別の AWS アカウントに属する関数で実行されている場合でも、すべての関数のデータイベントのログ記録を行うと、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も有効になります。

  14. 定義済みのログセレクタテンプレートを適用し、別のデータイベントリソースタイプを追加しない場合は、手順 18 に進みます。カスタムログセレクタテンプレートを適用するには、次のステップに進みます。

  15. カスタムログセレクタテンプレートを作成するには、ログセレクタテンプレート[] ドロップダウンリストから [] を選択しますCustom

  16. 必要に応じて、カスタムログセレクタテンプレートの名前を入力します。

  17. Eclipse高度なイベントセレクターで、データイベントをログに記録する特定の S3 バケット、AWS Outposts の S3 オブジェクト、Lambda 関数、または DynamoDB テーブルの式を作成します。

    1. 次のフィールドから選択します。配列(複数の値)を受け入れるフィールドの場合、CloudTrail は値の間に OR を追加します。

      • readOnly-readOnlyに設定できます。同等trueまたはfalse。読み取り専用データイベントは、リソースの状態を変更しないイベントです。Get*またはDescribe*イベント. Write イベントは、リソース、属性、またはアーティファクトを追加、変更、または削除します。Put*Delete*, またはWrite*イベント.

      • eventName-eventNameは任意の演算子を使用できます。これを使用して、CloudTrail に記録されるデータイベント (PutBucketまたはPutItem。このフィールドには、コンマで区切ることで、複数の値を指定できます。

      • resources.type-このフィールドは必須です。resources.typeしか使用できない同等演算子で、次のいずれかの値を指定できます。AWS::S3::ObjectAWS::S3Outposts::ObjectAWS::Lambda::FunctionAWS::DynamoDB::TableAWS::ManagedBlockchain::Node, またはAWS::S3ObjectLambda::AccessPoint

      • resources.ARN-任意の演算子を使用することができます。resources.ARNを使用する場合がありますが、同等または注目の場合、値は、テンプレートで指定したタイプの有効なリソースの ARN と正確に一致する必要があります。resources.type。たとえば、resources.typeequalsAWS። S3። オブジェクトARN は次のいずれかの形式である必要があります。特定の S3 バケット内のすべてのオブジェクトのすべてのデータイベントをログに記録するには、StartsWith演算子を使用し、一致する値としてバケット ARN のみを含めます。

        末尾のスラッシュは意図的です。除外しないでください。

        arn:partition:s3:::bucket_name/ arn:partition:s3:::bucket_name/object_or_file_name/

        メトリックresources.typeequalsAWS። S3アウトポスト። オブジェクトに設定され、演算子は同等または注目[] で、ARN は次の形式になります。

        arn:partition:s3-outposts:region:account_ID:object_path

        メトリックresources.typeequalsAWS::Lambda::Functionに設定され、演算子は同等または注目[] で、ARN は次の形式になります。

        arn:partition:lambda:region:account_ID:function:function_name

        メトリックresources.typeequalsAWS::DynamoDB::Tableに設定され、演算子は同等または注目[] で、ARN は次の形式になります。

        arn:partition:dynamodb:region:account_ID:table/table_name

        メトリックresources.typeequalsAWS::ManagedBlockchain::Nodeに設定され、演算子は同等または注目[] で、ARN は次の形式になります。

        arn:partition:managedblockchain:region:account_ID:nodes/node_ID

        メトリックresources.typeequalsAWS። S3ObjectLambda። AccessPointに設定され、演算子は同等または注目[] で、ARN は次の形式になります。

        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name

      データイベントリソースの ARN 形式の詳細については、」Amazon S3 で定義されるリソースタイプAWS Lambda によって定義されるリソースタイプ, およびAmazon DynamoDB で定義されるリソースタイプ()AWS Identity and Access Management ユーザーガイド

    2. 各フィールドについて、+ 条件をクリックして、必要な数の条件を追加します。すべての条件に対して最大 500 個の指定値を指定できます。たとえば、証跡に記録されているデータイベントから 2 つの S3 バケットのデータイベントを除外するには、フィールドをリソース.arnの演算子を設定する場合は、注目を選択し、S3 バケット ARN に貼り付けるか、イベントをログに記録しない S3 バケットを参照します。

      2 番目の S3 バケットを追加するには、[] を選択します。+ 条件をクリックし、上記の手順を繰り返し、ARN に貼り付けたり、別のバケットをブラウズしたりします。

      注記

      証跡上のすべてのセレクタに対して、最大 500 個の値を設定できます。これには、セレクタの複数の値の配列が含まれます。eventName。すべてのセレクタに単一の値がある場合、セレクタに最大500個の条件を追加できます。

      15,000 を超える Lambda 関数がアカウントに存在する場合は、証跡作成時に CloudTrail コンソールですべての関数を表示または選択することはできません。表示されていない場合でも、定義済みのセレクタテンプレートを使用してすべての関数をログ記録することができます。特定の関数のデータイベントをログ記録する場合、ARN が分かれば、関数を手動で追加することができます。コンソールで証跡を作成したら、AWS CLI とput-event-selectorsコマンドを使用して、特定の Lambda 関数のデータイベントログを設定します。詳細については、「AWS CLI による証跡の管理」を参照してください。

    3. 選択+ field必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。たとえば、あるセレクタで ARN を値に等しく指定しないでください。次に、ARN が別のセレクタで同じ値に等しくならないように指定します。

    4. カスタムセレクタテンプレートへの変更を保存するには、。別のログセレクタテンプレートを選択しないでください。また、このページを離れると、カスタムセレクタが失われます。

    5. データイベントをログに記録する別のデータ型を追加するには、データイベントタイプの追加。手順12からこの手順を繰り返して、データ・イベント・タイプの詳細イベント・セレクタを構成します。

  18. 選択インサイトイベント証跡で CloudTrail インサイトイベントをログに記録する場合。

    Eclipseイベントタイプ[] を選択し、インサイトイベント。ログ記録する必要があります書き込み管理イベントを使用して、インサイトイベントを記録します。

    CloudTrail インサイトが管理を分析する書き込みイベント、異常が検出された場合にイベントをログに記録します。デフォルトでは、証跡はインサイトイベントを記録しません。インサイトイベントの詳細については、「証跡のインサイトイベントの記録」を参照してください。インサイトイベントの記録には追加料金が適用されます。CloudTrail の料金については、AWS CloudTrail 料金

    インサイトイベントは、/CloudTrail-Insight[] で指定されている同じ S3 バケットのストレージの場所] 領域に移動します。CloudTrail によって新しいプレフィックスが作成されます。たとえば、現在の送信先 S3 バケットの名前が S3bucketName/AWSLogs/CloudTrail/ の場合、新しいプレフィックスが付いた S3 バケットの名前は S3bucketName/AWSLogs/CloudTrail-Insight/ になります。

  19. ログに記録するイベントタイプの選択が終了したら、

  20. リポジトリの []確認と作成ページで、選択内容を確認します。選択編集をクリックして、そのセクションに表示される基準線設定を変更します。証跡を作成する準備ができたら、[] を選択します。証跡の作成

  21. 新しい証跡が [Trails (証跡)] ページに表示されます。[Trails (証跡)] ページでは、すべてのリージョンを対象に、アカウント内の証跡が表示されます。約 15 分で CloudTrail によってログファイルが発行され、アカウント内で実行された AWS API 呼び出しが表示されます。ユーザーは、指定した S3 バケット内のログファイルを確認することができます。インサイトイベントログを有効にしていて、異常なアクティビティが検出された場合、CloudTrail が最初のインサイトイベントを配信するまでに最大 36 時間かかることがあります。

    注記

    CloudTrail は、通常、API 呼び出しの約 15 分以内にログ配信します。この時間は保証されません。[] を確認します。AWS CloudTrail のサービスレベルアグリーメント詳細については.

次のステップ

証跡を作成したら、証跡に戻って次の変更を加えることができます。