の証跡の作成 AWS アカウント

証跡を作成するときは、指定した Amazon S3 バケットへのログファイルとしてのイベントの継続的な配信を有効にします。証跡の作成には、次のような多くの利点があります。

• 90 日間を過ぎたイベントの記録。

• ログイベントを Amazon CloudWatch Logs に送信することによって、指定されたイベントを自動的にモニタリングして警告するオプション。

• Amazon Athena でログをクエリし、 AWS サービスアクティビティを分析するオプション。

2019 年 4 月 12 日以降、証跡はイベントをログに記録する AWS リージョンでのみ表示できます。マルチリージョン証跡を作成すると、アカウントで有効 AWS リージョン になっているすべての のコンソールに表示されます。単一の リージョン内のイベントのみをログ記録する証跡を作成した場合は、その リージョン内でのみ、それを表示および管理できます。ベストプラクティスとして、マルチリージョン証跡を作成することをお勧めします。マルチリージョン証跡は、有効なすべてのリージョンのアクティビティをキャプチャするためです。CloudTrail コンソールを使用して作成された証跡はすべてマルチリージョン証跡です。単一リージョンの証跡を作成するには、 AWS CLIを使用する必要があります。

を使用する場合は AWS Organizations、組織内のすべての AWS アカウントのイベントをログに記録する証跡を作成できます。同じ名前の証跡が各メンバーアカウントに作成され、各証跡からのイベントは指定した Amazon S3 バケットに配信されます。

注記

組織の管理アカウントまたは委任された管理者アカウントのみが、組織の証跡を作成できます。組織の証跡を作成すると、CloudTrail と Organizations の統合が自動的に有効になります。詳細については、「組織の証跡の作成」を参照してください。

証跡を不適切な設定 (S3 バケットに到達できない状態など) にすると、CloudTrail は 30 日間、S3 バケットへのログファイルの再配信を試みます。これらの配信試行イベントには標準の CloudTrail 料金が適用されます。証跡の不適切な設定による課金を避けるには、その証跡を削除する必要があります。

トピック

• コンソールで証跡を作成および更新する

• を使用した証跡の作成、更新、管理 AWS CLI

• 証跡を複数作成する