証跡の作成 - AWS CloudTrail
次のステップ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

証跡の作成

手順に従って、すべてのリージョンに適用される証跡を作成します。すべてのリージョンに適用される証跡は、すべてのリージョンのログファイルを S3 バケットに配信します。証跡を作成すると、指定したイベントのログ記録が AWS CloudTrail によって自動的に開始されます。

注記

証跡を作成した後、他のAWSサービスを使用して、CloudTrail ログで収集されたイベントデータをさらに分析し、CloudTrail ログで収集されたデータに基づいて対応できます。詳細については、「CloudTrail のサポート対象サービスと統合」を参照してください。

コンソールでは、すべてのAWSリージョンが有効になっていること。これは推奨されるベストプラクティスです。1 つのリージョンでイベントを記録するには (推奨されません)、の使用AWS CLI

拡張イベントセレクタをまだ有効にしていない場合は、次の手順を使用します。高度なイベントセレクターが有効になっている場合は、コンソールで証跡を作成する (高度なイベントセレクタ)を使用して、証跡にデータイベントログを設定します。

を使用して CloudTrail 証跡を作成するにはAWS Management Console

  1. にサインインします。AWS Management Consoleにアクセスして、CloudTrail コンソールをhttps://console.aws.amazon.com/cloudtrail/

  2. CloudTrail サービスのホームページでは、証跡ページ、または証跡の セクションダッシュボードページで [] を選択します。証跡の作成

  3. [Create Trail (証跡の作成)] ページの [Trail name (証跡名)] に証跡の名前を入力します。詳細については、「CloudTrail の証跡の命名要件」を参照してください。

  4. これがAWS Organizations組織の証跡を設定する際には、組織内のすべてのアカウントに対して証跡を有効にすることもできます。このオプションは、管理アカウントの IAM ユーザーまたはロールでコンソールにサインインしている場合にのみ表示されます。組織の証跡を正しく作成するには、ユーザーまたはロールに十分なアクセス許可があることを確認してください。詳細については、「組織の証跡の作成」を参照してください。

  5. を使用する場合ストレージの場所] で、[新しい S3 バケットの作成バケットを作成します。バケットを作成すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。

    注記

    [] を選択した場合既存の S3 バケットの使用で、バケットをトレイルログバケット名を選択するか、参照バケットを選択します。バケットポリシーでは、バケットへの書き込み権限を CloudTrail に付与する必要があります。バケットポリシーを手動で編集する方法については、CloudTrail の Amazon S3 バケットポリシー を参照してください。

    ログを見つけやすくするために、新しいフォルダー (プレフィックス) を使用して CloudTrail ログを保存できます。接頭辞をプレフィックス

  6. を使用する場合ログファイルSSE-KMS 暗号化] で、[[Enabled (有効)]SSE-S3 を使用する代わりに SSE-KMS を使用してログファイルを暗号化する場合は、デフォルトは です。[Enabled (有効)]。この暗号化タイプの詳細については、」を参照してください。Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護

    SSE-KMS 暗号化を有効にする場合は、新規またはexist AWS KMSカスタマーマスターキー。EclipseAWS KMSエイリアスで、エイリアスを指定します。alias/MyAliasName。詳細については、「CMK を使用するために証跡を更新する」を参照してください。

    注記

    別のアカウントのキーの ARN を入力することもできます。キーポリシーでは、CloudTrail がキーを使用してログファイルを暗号化することと、指定したユーザーが暗号化されていない形式でログファイルを読み取ることを許可する必要があります。キーポリシーを手動で編集する方法については、設定AWS KMSCloudTrail の重要なポリシー を参照してください。

  7. Eclipse追加設定で、以下を設定します。

    1. を使用する場合ログファイルの検証] で、[[Enabled (有効)][] を選択して、S3 バケットにログダイジェストが配信されるようにします。ダイジェストファイルは、ログファイルが CloudTrail に配信された後に変更されていないことを確認するために使用できます。詳細については、「CloudTrail ログファイルの整合性の検証」を参照してください。

    2. を使用する場合SNS 通知の配信] で、[[Enabled (有効)]ログがバケットに配信されるたびに通知を受ける必要があります。CloudTrail は、1 つのログファイルに複数のイベントを保存します。SNS 通知は、ログファイルごとに送信されます (イベントごとではありません)。詳細については、「Amazon SNS の CloudTrail 通知の設定」を参照してください。

      SNS 通知を有効にすると、新しい SNS トピックの作成] で、[新規[] でトピックを作成するか、[] を選択します。exist既存のトピックを使用するには、を使用します。すべてのリージョンに適用される証跡を作成した場合、すべてのリージョンからのログファイル配信を知らせる SNS 通知は、ユーザーが作成した単一の SNS トピックに送信されます。

      を選択すると、新規に設定されている場合、CloudTrail は新しいトピックの名前を指定するか、名前を入力できます。を選択すると、existドロップダウンリストから SNS トピックを選択します。別のリージョンにあるトピックの ARN を入力したり、適切なアクセス許可を持ったアカウントにあるトピックの ARN を入力することもできます。詳細については、「CloudTrail の Amazon SNS トピックポリシー」を参照してください。

      トピックを作成する場合は、ログファイル配信の通知を受けるトピックを受信登録する必要があります。受信登録は Amazon SNS コンソールから行うことができます。通知頻度の都合上、受信登録については、Amazon SQS キューを使用して通知をプログラムで処理するように設定することをお勧めします。詳細については、Amazon Simple Notification Service 入門ガイドを参照してください。

  8. オプションで、CloudTrail を設定し、CloudWatch Logs にログファイルを送信します。[Enabled (有効)][CloudWatch Logs]。詳細については、「CloudWatch Logs へのイベントの送信」を参照してください。

    1. CloudWatch Logs との統合を有効にする場合は、新規新しいロググループを作成するか、exist既存のものを使用するには、を使用します。を選択すると、新規CloudTrail では、CloudTrail によって、新しいロググループの名前が指定されます。または、名前を入力できます。

    2. を選択すると、existドロップダウンリストからロググループを選択します。

    3. 選択新規CloudWatch Logs にログを送信するためのアクセス許可の新しい IAM ロールを作成します。選択existドロップダウンリストから、既存の IAM ロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、ポリシードキュメント。このロールの詳細については、「CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント」を参照してください。

      注記

      証跡を設定する際には、別のアカウントに属している S3 バケットや SNS トピックを選択することもできます。ただし、CloudTrail から CloudWatch Logs ロググループにイベントを配信する場合は、現在のアカウント内に存在するロググループを選択する必要があります。

  9. [タグ] で、1 つまたは複数のカスタムタグ (キーと値のペア) を証跡に追加します。タグは、CloudTrail 証跡と、CloudTrail ログファイルを含む Amazon S3 バケットの両方を識別するのに役立ちます。その後、CloudTrail リソースのリソースグループを使用できます。詳細については、「AWS Resource Groups」および「軌跡にタグを使用する理由」を参照してください。

  10. リポジトリの []ログイベントの選択ページで、ログに記録するイベントタイプを選択します。[管理イベント] で、次の操作を行います。

    1. を使用する場合API アクティビティで、証跡で記録する対象を [] で記録するかどうかReadイベント,書き込みイベント、またはその両方です。詳細については、「管理イベント」を参照してください。

    2. 選択除外AWS KMSイベントフィルタリングAWS Key Management Service(AWS KMS) イベントから、証跡から デフォルト設定では、すべてのAWS KMSイベント.

      ログまたは除外するオプションAWS KMSイベントは、管理イベントを履歴に記録する場合にのみ使用できます。管理イベントのログを記録しないように選択した場合は、AWS KMSイベントはログに記録されず、AWS KMSイベントログ設定です。

      通常、EncryptDecryptGenerateDataKey などの AWS KMS アクションは、大容量イベント (99% 以上) を生成します。これらのアクションは、[Read (読み取り)] イベントとしてログに記録されるようになりました。少量、関連性AWS KMSなどのアクションDisable,Delete, およびScheduleKey(これは、通常 0.5% 未満を占めていますAWS KMSイベントボリューム) は書き込みイベント.

      のような大量のイベントを除外するにはEncrypt,Decrypt, およびGenerateDataKeyなどの関連イベントを記録しますが、Disable,DeleteおよびScheduleKeyで、ログを選択します書き込み管理イベントで、[] を選択して、[]除外AWS KMSイベント

    3. 選択Amazon RDS Data API イベントを除外する証跡から Amazon Relational Database Service データ API イベントをフィルタリングできます。デフォルト設定では、すべての Amazon RDS データ API イベントが含まれます。Amazon RDS データ API イベントの詳細については、「」を参照してください。による Data API コールのログ記録AWS CloudTrail()Aurora の Amazon RDS ユーザーガイド

  11. を使用する場合データイベントAmazon S3 バケットのログ記録を指定するには、AWS Lambda関数、Amazon DynamoDB テーブル、またはこれらのリソースタイプの組み合わせを使用します。デフォルトでは、証跡はデータイベントを記録しません。データイベントのログ記録には追加料金が適用されます。詳細については、「データイベント」を参照してください。CloudTrail の料金については、AWS CloudTrail料金。高度なイベントセレクターを使用すると、より多くのデータイベントタイプを使用できます。詳細については、コンソールで証跡を作成する (高度なイベントセレクタ)このトピックで。

    Amazon S3 バケットの場合:

    1. を使用する場合データイベントソース] で、[S3

    2. あなたは、ログを選択することができます現在および将来のすべての S3 バケットバケットまたは関数を個々に指定することもできます。デフォルトでは、現在および将来のすべての S3 バケットのデータイベントが記録されます。

      注記

      デフォルトを維持する現在および将来のすべての S3 バケットオプションでは、現在、すべてのバケットのデータイベントのログ記録が有効になります。AWSアカウントと、証跡の作成が完了した後に作成したバケットのすべてが表示されます。このアクティビティが、別の AWS アカウントに属するバケットで実行されている場合でも、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も行うことができます。

      1 つのリージョンの軌跡を作成する場合 (AWS CLI) を選択し、現在および将来のすべての S3 バケット証跡として、同じリージョン内のすべてのバケット、およびそのリージョンで後で作成するバケットに対して、データイベントのログ記録が有効になります。他のリージョンの Amazon S3 バケットのデータイベントは記録されません。AWSアカウント.

    3. デフォルトのままにすると、現在および将来のすべての S3 バケットで、ログを選択しますReadイベント,書き込みイベント、またはその両方です。

    4. 個々のバケットを選択するには、Readおよび書き込みのチェックボックスをオフにします。現在および将来のすべての S3 バケット。Eclipse個々のバケット選択で、データイベントをログに記録するバケットを参照します。目的のバケットのバケットプレフィックスを入力して、特定のバケットを検索します。このウィンドウでは、複数のバケットを選択できます。選択バケットの追加より多くのバケットのデータイベントをログに記録します。[Logging]ReadイベントなどGetObject,書き込みイベントなどPutObjectか、または両方となります。

      この設定は、個別のバケットに設定した個々の設定よりも優先されます。たとえば、すべての S3 バケットにログ記録 [読み取り] イベントを指定し、データイベントログ記録に特定のバケットの追加を選択した場合、追加したバケットには既に [読み取り] が設定されています。選択を解除することはできません。[書き込み] のオプションしか設定することができません。

      ログ記録からバケットを削除するには、X

  12. データイベントをログに記録する別のデータ型を追加するには、データイベントタイプの追加

  13. Lambda 関数の場合:

    1. を使用する場合データイベントソース] で、[Lambda

    2. EclipseLambda 関数] で、[すべてのリージョンを使用してすべての Lambda 関数をログに記録するか、ARN としての入力関数特定の関数でデータイベントをログに記録します。

      すべての Lambda 関数のデータイベントをログに記録するにはAWSアカウントで現在および将来のすべての関数をログに記録する。この設定は、関数に個々に設定した各設定よりも優先されます。すべての関数が表示されていなくても、関数はすべてログ記録されます。

      注記

      すべてのリージョンで証跡を作成している場合は、この選択によって、現時点のすべての関数のデータイベントのログ記録が有効になります。AWSアカウントや、証跡作成後に任意のリージョンに作成する可能性のある Lambda 関数などがあります。1 つのリージョンの軌跡を作成する場合 (AWS CLI)、この選択により、現在そのリージョンにあるすべての関数のデータイベントログが有効になります。AWSアカウント、およびトレイルの作成完了後にそのリージョンに作成できる Lambda 関数が含まれます。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

      このアクティビティが、その他の AWS アカウントに属する関数で実行されている場合でも、すべての関数のデータイベントのログ記録を行うと、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も有効になります。

    3. を選択すると、ARN としての入力関数に、Lambda 関数の ARN を入力します。

      注記

      15,000 を超える Lambda 関数がアカウントに存在する場合は、証跡作成時に CloudTrail コンソールですべての関数を表示または選択することはできません。表示されていない場合でも、すべての関数をログ記録するオプションを選択することができます。特定の関数のデータイベントをログ記録する場合、ARN が分かれば、関数を手動で追加することができます。コンソールで証跡を作成したら、コンソールでAWS CLIとput-event-selectorsコマンドを使用して、特定の Lambda 関数のデータイベントログを設定します。詳細については、「による軌跡の管理AWS CLI」を参照してください。

  14. DynamoDB テーブルの場合:

    1. を使用する場合データイベントソース] で、[DynamoDB

    2. EclipseDynamoDB テーブルの選択] で、[参照をクリックしてテーブルを選択するか、アクセス権を持つ DynamoDB テーブルの ARN に貼り付けます。DynamoDB テーブルの ARN は、次の形式になります。 

      arn:partition:dynamodb:region:account_ID:table/table_name

      別のテーブルを追加するには、行を追加をクリックし、テーブルを参照するか、アクセス権のあるテーブルの ARN に貼り付けます。

  15. 選択インサイトイベント証跡で CloudTrail インサイトイベントをログに記録する場合は、

    Eclipseイベントタイプを選択し、インサイトイベント。ログ記録する必要があります書き込み管理イベントを使用して、インサイトイベントを記録します。

    CloudTrail インサイトが管理を分析する書き込みイベント、異常が検出された場合にイベントをログに記録します。デフォルトでは、証跡はインサイトイベントを記録しません。インサイトイベントの詳細については、「証跡のインサイトイベントの記録」を参照してください。インサイトイベントの記録には追加料金が適用されます。CloudTrail の料金については、AWS CloudTrail料金

    インサイトイベントは、/CloudTrail-Insight[] で指定されている同じ S3 バケットのストレージの場所] 領域に移動します。CloudTrail によって新しいプレフィックスが作成されます。たとえば、現在の送信先 S3 バケットの名前が S3bucketName/AWSLogs/CloudTrail/ の場合、新しいプレフィックスが付いた S3 バケットの名前は S3bucketName/AWSLogs/CloudTrail-Insight/ になります。

  16. ログに記録するイベントタイプの選択が終了したら、

  17. リポジトリの []確認と作成ページで、選択内容を確認します。選択編集をクリックして、そのセクションに表示される基準線設定を変更します。証跡を作成する準備ができたら、[] メニューから証跡の作成

  18. 新しい証跡が [Trails (証跡)] ページに表示されます。[Trails (証跡)] ページでは、すべてのリージョンを対象に、アカウント内の証跡が表示されます。約 15 分で、CloudTrail によってログファイルが発行され、AWSアカウントの API 呼び出し。ユーザーは、指定した S3 バケット内のログファイルを確認することができます。インサイトイベントログを有効にしていて、異常なアクティビティが検出された場合、CloudTrail が最初のインサイトイベントを配信するまでに最大 36 時間かかることがあります。

注記

CloudTrail は、通常、API 呼び出しの平均 15 分以内にログを配信します。この時間は保証されません。「」を確認します。AWS CloudTrailサービスレベルアグリーメント (SLA)詳細については.

コンソールでは、すべてのAWSリージョン. これは推奨されるベストプラクティスです。1 つのリージョンでイベントを記録するには (推奨されません)、の使用AWS CLI

高度なイベントセレクタを有効にした場合は、次の手順を使用します。基本的なデータイベントセレクタを使用する場合は、コンソールで証跡を作成する (基本的なイベントセレクタ)を使用して、証跡にデータイベントログを設定します。

を使用して CloudTrail 証跡を作成するにはAWS Management Console

  1. にサインインします。AWS Management Consoleにアクセスして、CloudTrail コンソールをhttps://console.aws.amazon.com/cloudtrail/

  2. CloudTrail サービスのホームページでは、証跡ページ、または証跡の セクションダッシュボードページで [] を選択します。証跡の作成

  3. [Create Trail (証跡の作成)] ページの [Trail name (証跡名)] に証跡の名前を入力します。詳細については、「CloudTrail の証跡の命名要件」を参照してください。

  4. これがAWS Organizations組織の証跡を設定する際には、組織内のすべてのアカウントに対して証跡を有効にすることもできます。このオプションは、管理アカウントの IAM ユーザーまたはロールでコンソールにサインインしている場合にのみ表示されます。組織の証跡を正しく作成するには、ユーザーまたはロールに十分なアクセス許可があることを確認してください。詳細については、「組織の証跡の作成」を参照してください。

  5. を使用する場合ストレージの場所] で、[新しい S3 バケットの作成バケットを作成します。バケットを作成すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。

    注記

    [] を選択した場合既存の S3 バケットの使用で、バケットをトレイルログバケット名を選択するか、参照バケットを選択します。バケットポリシーでは、バケットへの書き込み権限を CloudTrail に付与する必要があります。バケットポリシーを手動で編集する方法については、CloudTrail の Amazon S3 バケットポリシー を参照してください。

    ログを見つけやすくするために、新しいフォルダー (プレフィックス) を使用して CloudTrail ログを保存できます。接頭辞をプレフィックス

  6. を使用する場合ログファイルSSE-KMS 暗号化] で、[[Enabled (有効)]SSE-S3 を使用する代わりに SSE-KMS を使用してログファイルを暗号化する場合は、デフォルトは です。[Enabled (有効)]。この暗号化タイプの詳細については、」を参照してください。Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護

    SSE-KMS 暗号化を有効にする場合は、新規またはexist AWS KMSカスタマーマスターキー。EclipseAWS KMSエイリアスで、エイリアスを指定します。alias/MyAliasName。詳細については、「CMK を使用するために証跡を更新する」を参照してください。

    注記

    別のアカウントのキーの ARN を入力することもできます。詳細については、「CMK を使用するために証跡を更新する」を参照してください。キーポリシーでは、CloudTrail がキーを使用してログファイルを暗号化することと、指定したユーザーが暗号化されていない形式でログファイルを読み取ることを許可する必要があります。キーポリシーを手動で編集する方法については、設定AWS KMSCloudTrail の重要なポリシー を参照してください。

  7. Eclipse追加設定で、以下を設定します。

    1. を使用する場合ログファイルの検証] で、[[Enabled (有効)][] を選択して、S3 バケットにログダイジェストが配信されるようにします。ダイジェストファイルは、ログファイルが CloudTrail に配信された後に変更されていないことを確認するために使用できます。詳細については、「CloudTrail ログファイルの整合性の検証」を参照してください。

    2. を使用する場合SNS 通知の配信] で、[[Enabled (有効)]ログがバケットに配信されるたびに通知を受ける必要があります。CloudTrail は、1 つのログファイルに複数のイベントを保存します。SNS 通知は、ログファイルごとに送信されます (イベントごとではありません)。詳細については、「Amazon SNS の CloudTrail 通知の設定」を参照してください。

      SNS 通知を有効にすると、新しい SNS トピックの作成] で、[新規[] でトピックを作成するか、[] を選択します。exist既存のトピックを使用するには、を使用します。すべてのリージョンに適用される証跡を作成した場合、すべてのリージョンからのログファイル配信を知らせる SNS 通知は、ユーザーが作成した単一の SNS トピックに送信されます。

      を選択すると、新規に設定されている場合、CloudTrail は新しいトピックの名前を指定するか、名前を入力できます。を選択すると、existドロップダウンリストから SNS トピックを選択します。別のリージョンにあるトピックの ARN を入力したり、適切なアクセス許可を持ったアカウントにあるトピックの ARN を入力することもできます。詳細については、「CloudTrail の Amazon SNS トピックポリシー」を参照してください。

      トピックを作成する場合は、ログファイル配信の通知を受けるトピックを受信登録する必要があります。受信登録は Amazon SNS コンソールから行うことができます。通知頻度の都合上、受信登録については、Amazon SQS キューを使用して通知をプログラムで処理するように設定することをお勧めします。詳細については、Amazon Simple Notification Service 入門ガイドを参照してください。

  8. オプションで、CloudTrail を設定し、CloudWatch Logs にログファイルを送信します。[Enabled (有効)][CloudWatch Logs]。詳細については、「CloudWatch Logs へのイベントの送信」を参照してください。

    1. CloudWatch Logs との統合を有効にする場合は、新規新しいロググループを作成するか、exist既存のものを使用するには、を使用します。を選択すると、新規CloudTrail では、CloudTrail によって、新しいロググループの名前が指定されます。または、名前を入力できます。

    2. を選択すると、existドロップダウンリストからロググループを選択します。

    3. 選択新規CloudWatch Logs にログを送信するためのアクセス許可の新しい IAM ロールを作成します。選択existドロップダウンリストから、既存の IAM ロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、ポリシードキュメント。このロールの詳細については、「CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント」を参照してください。

      注記

      証跡を設定する際には、別のアカウントに属している S3 バケットや SNS トピックを選択することもできます。ただし、CloudTrail から CloudWatch Logs ロググループにイベントを配信する場合は、現在のアカウント内に存在するロググループを選択する必要があります。

  9. [タグ] で、1 つまたは複数のカスタムタグ (キーと値のペア) を証跡に追加します。タグは、CloudTrail 証跡と、CloudTrail ログファイルを含む Amazon S3 バケットの両方を識別するのに役立ちます。その後、CloudTrail リソースのリソースグループを使用できます。詳細については、「AWS Resource Groups」および「軌跡にタグを使用する理由」を参照してください。

  10. リポジトリの []ログイベントの選択ページで、ログに記録するイベントタイプを選択します。[管理イベント] で、次の操作を行います。

    1. を使用する場合API アクティビティで、証跡で記録する対象を [] で記録するかどうかReadイベント,書き込みイベント、またはその両方です。詳細については、「管理イベント」を参照してください。

    2. 選択除外AWS KMSイベントフィルタリングAWS Key Management Service(AWS KMS) イベントから、証跡から デフォルト設定では、すべてのAWS KMSイベント.

      ログまたは除外するオプションAWS KMSイベントは、管理イベントを履歴に記録する場合にのみ使用できます。管理イベントのログを記録しないように選択した場合は、AWS KMSイベントはログに記録されず、AWS KMSイベントログ設定です。

      通常、EncryptDecryptGenerateDataKey などの AWS KMS アクションは、大容量イベント (99% 以上) を生成します。これらのアクションは、[Read (読み取り)] イベントとしてログに記録されるようになりました。少量、関連性AWS KMSなどのアクションDisable,Delete, およびScheduleKey(これは、通常 0.5% 未満を占めていますAWS KMSイベントボリューム) は書き込みイベント.

      のような大量のイベントを除外するにはEncrypt,Decrypt, およびGenerateDataKeyなどの関連イベントを記録しますが、Disable,DeleteおよびScheduleKeyで、ログを選択します書き込み管理イベントで、[] を選択して、[]除外AWS KMSイベント

    3. 選択Amazon RDS Data API イベントを除外する証跡から Amazon Relational Database Service データ API イベントをフィルタリングできます。デフォルト設定では、すべての Amazon RDS データ API イベントが含まれます。Amazon RDS データ API イベントの詳細については、「」を参照してください。による Data API コールのログ記録AWS CloudTrail()Aurora の Amazon RDS ユーザーガイド

  11. データイベントをログに記録するには、データイベント

  12. を使用する場合データイベントタイプ[] で、データイベントをログに記録するリソースのタイプを選択します。

  13. ログ選択テンプレートを選択します。CloudTrail には、リソースタイプのすべてのデータイベントをログに記録する定義済みのテンプレートが含まれています。カスタムログセレクターテンプレートを作成するには、Custom

    注記

    S3 バケットの事前定義済みテンプレートを選択すると、AWSアカウントと、証跡の作成が完了した後に作成したバケットのすべてが表示されます。このアクティビティが、別の AWS アカウントに属するバケットで実行されている場合でも、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も行うことができます。

    証跡が 1 つのリージョンのみに適用される場合、すべての S3 バケットをログに記録する定義済みのテンプレートを選択すると、同じリージョン内のすべてのバケット、およびそのリージョンで後で作成するバケットに対して、データイベントのログ記録が証跡として有効になります。他のリージョンの Amazon S3 バケットのデータイベントは記録されません。AWSアカウント.

    すべてのリージョンで証跡を作成している場合は、Lambda 関数の定義済みのテンプレートを選択すると、現時点のすべての関数のデータイベントのログ記録が有効になります。AWSアカウントや、証跡作成後に任意のリージョンに作成する可能性のある Lambda 関数などがあります。1 つのリージョンの軌跡を作成する場合 (AWS CLI)、この選択により、現在そのリージョンにあるすべての関数のデータイベントログが有効になります。AWSアカウント、およびトレイルの作成完了後にそのリージョンに作成できる Lambda 関数が含まれます。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

    このアクティビティが、その他の AWS アカウントに属する関数で実行されている場合でも、すべての関数のデータイベントのログ記録を行うと、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も有効になります。

  14. 定義済みのログセレクタテンプレートを適用し、別のデータイベントリソースタイプを追加しない場合は、手順 18 に進みます。カスタムログセレクタテンプレートを適用するには、次のステップに進みます。

  15. カスタムのログセレクタテンプレートを作成するには、[ログセレクタテンプレートドロップダウンリストから [] を選択します。Custom

  16. オプションで、カスタムログセレクタテンプレートの名前を入力します。

  17. Eclipse高度なイベントセレクターデータイベントをログに記録する特定のリソースの式を作成します。

    1. 次のフィールドから選択します。配列(複数の値)を受け入れるフィールドの場合、CloudTrail は値の間に OR を追加します。

      • readOnly-readOnlyに設定できます。等号trueまたはfalse。読み取り専用データイベントは、リソースの状態を変更しないイベントです。Get*またはDescribe*イベント. Write イベントは、リソース、属性、またはアーティファクトを追加、変更、または削除します。Put*,Delete*, またはWrite*イベント. 両方をログに記録するにはreadおよびwriteイベントを追加しないでください。readOnlyセレクタ.

      • eventName-eventNameは任意の演算子を使用できます。これを使用して、CloudTrail に記録されるデータイベント (PutBucket,PutItem, またはGetSnapshotBlock。このフィールドには、コンマで区切ることで、複数の値を設定できます。

      • resources.type-このフィールドは必須です。resources.typeを使用できるのは、等号演算子で、次のいずれかの値を指定できます。AWS::S3::Object,AWS::S3Outposts::Object,AWS::Lambda::Function,AWS::DynamoDB::Table,AWS::ManagedBlockchain::Node,AWS::S3ObjectLambda::AccessPoint, またはAWS::EC2::Snapshot

      • resources.ARN-任意の演算子を使用することができますresources.ARNを使用する場合がありますが、等号または注目の場合、値は、テンプレートで指定したタイプの有効なリソースの ARN と正確に一致する必要があります。resources.type。たとえば、resources.typeequalsAWS። S3። オブジェクトARN は次のいずれかの形式である必要があります。特定の S3 バケット内のすべてのオブジェクトのすべてのデータイベントをログに記録するには、特定の S3 バケットのStartsWith演算子を使用し、一致する値としてバケット ARN のみを含めます。

        末尾のスラッシュは意図的です。除外しないでください。

        arn:partition:s3:::bucket_name/
arn:partition:s3:::bucket_name/object_or_file_name/

        メトリックresources.typeequalsAWS። S3アウトポスト። オブジェクトに設定され、演算子は等号または注目場合、ARN は次の形式である必要があります。 

        arn:partition:s3-outposts:region:account_ID:object_path

        メトリックresources.typeequalsAWS::Lambda::Functionに設定され、演算子は等号または注目ARN は、次のような形式になります。 

        arn:partition:lambda:region:account_ID:function:function_name

        メトリックresources.typeequalsAWS::DynamoDB::Tableに設定され、演算子は等号または注目ARN は、次のような形式になります。 

        arn:partition:dynamodb:region:account_ID:table/table_name

        メトリックresources.typeequalsAWS::ManagedBlockchain::Nodeに設定され、演算子は等号または注目ARN は、次のような形式になります。 

        arn:partition:managedblockchain:region:account_ID:nodes/node_ID

        メトリックresources.typeequalsAWS። S3ObjectLambda። AccessPointに設定され、演算子は等号または注目ARN は、次のような形式になります。 

        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name

        メトリックresources.typeequalsAWS::EC2::Snapshotに設定され、演算子は等号または注目ARN は、次のような形式になります。 

        arn:partition:ec2:region::snapshot/snapshot_ID

      データイベントリソースの ARN 形式の詳細については、」アクション、リソース、条件キー()AWS Identity and Access Managementユーザーガイド

    2. フィールドごとに、+ 条件をクリックして、必要な数の条件を追加します。すべての条件に対して最大 500 個の指定値を指定できます。たとえば、証跡に記録されているデータイベントから 2 つの S3 バケットのデータイベントを除外するには、フィールドをリソース.arnの演算子を設定します。注目を選択し、S3 バケット ARN に貼り付けるか、イベントをログに記録しない S3 バケットを参照します。

      2 番目の S3 バケットを追加するには、+ 条件をクリックし、上記の手順を繰り返し、ARN に貼り付けたり、別のバケットをブラウズしたりします。

      注記

      証跡上のすべてのセレクタに対して、最大 500 個の値を設定できます。これには、セレクタの複数の値の配列が含まれます。eventName。すべてのセレクタに単一の値がある場合、セレクタに最大500個の条件を追加できます。

      15,000 を超える Lambda 関数がアカウントに存在する場合は、証跡作成時に CloudTrail コンソールですべての関数を表示または選択することはできません。表示されていない場合でも、定義済みのセレクタテンプレートを使用して、すべての関数をログ記録することができます。特定の関数のデータイベントをログ記録する場合、ARN が分かれば、関数を手動で追加することができます。コンソールで証跡を作成したら、コンソールでAWS CLIとput-event-selectorsコマンドを使用して、特定の Lambda 関数のデータイベントログを設定します。詳細については、「による軌跡の管理AWS CLI」を参照してください。

    3. 選択+ フィールド必要に応じて、追加のフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。たとえば、あるセレクタで ARN を値に等しく指定しないでください。次に、ARN が別のセレクタで同じ値に等しくならないように指定します。

    4. カスタムセレクタテンプレートへの変更を保存するには、。別のログセレクタテンプレートを選択しないでください。また、このページを離れると、カスタムセレクタが失われます。

    5. データイベントをログに記録する別のデータ型を追加するには、データイベントタイプの追加。手順12からこの手順を繰り返して、データ・イベント・タイプの詳細イベント・セレクタを構成します。

  18. 選択インサイトイベント証跡で CloudTrail インサイトイベントをログに記録する場合は、

    Eclipseイベントタイプを選択し、インサイトイベント。ログ記録する必要があります書き込み管理イベントを使用して、インサイトイベントを記録します。

    CloudTrail インサイトが管理を分析する書き込みイベント、異常が検出された場合にイベントをログに記録します。デフォルトでは、証跡はインサイトイベントを記録しません。インサイトイベントの詳細については、「証跡のインサイトイベントの記録」を参照してください。インサイトイベントの記録には追加料金が適用されます。CloudTrail の料金については、AWS CloudTrail料金

    インサイトイベントは、/CloudTrail-Insight[] で指定されている同じ S3 バケットのストレージの場所] 領域に移動します。CloudTrail によって新しいプレフィックスが作成されます。たとえば、現在の送信先 S3 バケットの名前が S3bucketName/AWSLogs/CloudTrail/ の場合、新しいプレフィックスが付いた S3 バケットの名前は S3bucketName/AWSLogs/CloudTrail-Insight/ になります。

  19. ログに記録するイベントタイプの選択が終了したら、

  20. リポジトリの []確認と作成ページで、選択内容を確認します。選択編集をクリックして、そのセクションに表示される基準線設定を変更します。証跡を作成する準備ができたら、[] メニューから証跡の作成

  21. 新しい証跡が [Trails (証跡)] ページに表示されます。[Trails (証跡)] ページでは、すべてのリージョンを対象に、アカウント内の証跡が表示されます。約 15 分で、CloudTrail によってログファイルが発行され、AWSアカウント内で実行された API 呼び出しです。ユーザーは、指定した S3 バケット内のログファイルを確認することができます。インサイトイベントログを有効にしていて、異常なアクティビティが検出された場合、CloudTrail が最初のインサイトイベントを配信するまでに最大 36 時間かかることがあります。

    注記

    CloudTrail は、通常、API 呼び出しの平均 15 分以内にログを配信します。この時間は保証されません。「」を確認します。AWS CloudTrailサービスレベルアグリーメント (SLA)詳細については.

次のステップ

証跡を作成したら、証跡に戻って次の変更を加えることができます。