翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudTrail イベントについて
のイベント CloudTrail は、 AWS アカウントのアクティビティの記録です。このアクティビティは、 によってモニタリング可能な IAM ID またはサービスによって実行されるアクションです CloudTrail。 CloudTrail イベントは、 AWS Management Console、、 AWS SDKsコマンドラインツール、およびその他の を通じて行われたアカウントAPI以外のAPIアクティビティの履歴を提供します AWS のサービス。
CloudTrail ログファイルはパブリックAPIコールの順序付けられたスタックトレースではないため、イベントは特定の順序で表示されません。
CloudTrail イベントには 4 つのタイプがあります。
-
注記
ネットワークアクティビティイベントは のプレビューリリース中 CloudTrail であり、変更される可能性があります。
デフォルトでは、証跡とイベントデータはログ管理イベントを保存しますが、データイベント、ネットワークアクティビティイベント、または Insights イベントは保存されません。
すべてのイベントタイプは CloudTrail JSONログ形式を使用します。ログには、リクエストを行った人、使用されたサービス、実行されたアクション、アクションのパラメータなど、アカウントのリソースに対するリクエストに関する情報が含まれています。イベントデータが Records の配列で囲まれています。
CloudTrail イベントレコードフィールドの詳細については、「」を参照してくださいCloudTrail レコードの内容。
管理イベント
管理イベントは、 AWS アカウントのリソースに対して実行される管理オペレーションに関する情報を提供します。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。
管理イベントには、次のようなものがあります。
-
セキュリティの設定 (APIオペレーションなど AWS Identity and Access Management
AttachRolePolicy)。 -
デバイスの登録 (Amazon EC2
CreateDefaultVpcAPIオペレーションなど)。 -
データルーティングのルールの設定 (Amazon EC2
CreateSubnetAPIオペレーションなど)。 -
ログ記録の設定 (APIオペレーションなど AWS CloudTrail
CreateTrail)。
管理イベントには、アカウントで発生する非APIイベントを含めることもできます。例えば、ユーザーがアカウントにサインインすると、 はConsoleLoginイベントを CloudTrail ログに記録します。詳細については、「によってキャプチャされた 以外のAPIイベント CloudTrail」を参照してください。
デフォルトでは、 CloudTrail 証跡と CloudTrail Lake イベントデータはログ管理イベントを保存します。管理イベントのログ記録の詳細については、「」を参照してください管理イベントのログ記録。
次の例は、管理イベントの単一のログレコードを示しています。このイベントでは、 という名前Mary_MajorのIAMユーザーが aws cloudtrail start-logging コマンドを実行して アクションを CloudTrail StartLogging呼び出し、 という名前の証跡でログ記録プロセスを開始しますmyTrail。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLE6E4XEGITWATV6R", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "attributes": { "creationDate": "2023-07-19T21:11:57Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-19T21:33:41Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging", "requestParameters": { "name": "myTrail" }, "responseElements": null, "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932", "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
次の例では、 というIAM名前Paulo_Santosのユーザーユーザーが aws cloudtrail start-event-data-store-ingestion コマンドを実行して StartEventDataStoreIngestionアクションを呼び出し、イベントデータストアの取り込みを開始します。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLEPHCNW5EQV7NA54", "arn": "arn:aws:iam::123456789012:user/Paulo_Santos", "accountId": "123456789012", "accessKeyId": "(AKIAIOSFODNN7EXAMPLE", "userName": "Paulo_Santos", "sessionContext": { "attributes": { "creationDate": "2023-07-21T21:55:30Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-21T21:57:28Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartEventDataStoreIngestion", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion", "requestParameters": { "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41" }, "responseElements": null, "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f", "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
データイベント
データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。
データイベントには、次のようなものがあります。
-
S3 バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルのAPIアクティビティ (、
GetObjectDeleteObject、PutObjectAPIオペレーションなど)。 S3 -
AWS Lambda 関数実行アクティビティ (
InvokeAPI)。 -
CloudTrail
PutAuditEvents外部からイベントをログに記録するために使用される CloudTrail Lake チャネルでのアクティビティ AWS。 -
トピックに関する Amazon SNS
PublishとPublishBatchAPIオペレーション。
証跡およびイベントデータストアで使用できるデータイベントタイプは、以下の表のとおりです。[データイベントタイプ (コンソール)] 列には、コンソールで有効な選択項目が表示されます。resources.type 値列には、 AWS CLI または を使用して証跡またはイベントデータストアにそのタイプのデータイベントを含めるように指定するresources.type値が表示されます CloudTrail APIs。
証跡では、基本イベントセレクタまたはアドバンストイベントセレクタを使用して、汎用バケット、Lambda 関数、DynamoDB テーブル (テーブルの最初の 3 行に表示) 内の Amazon S3 オブジェクトのデータイベントをログ記録できます。残りの行に表示されるデータイベントタイプをログに記録するには、高度イベントセレクタのみを使用できます。
イベントデータストアの場合、データイベントを含めるには、詳細イベントセレクタのみを使用できます。
| AWS のサービス | 説明 | データイベントタイプ (コンソール) | resources.type 値 |
|---|---|---|---|
| Amazon DynamoDB | テーブルに対する Amazon DynamoDB 項目レベルのAPIアクティビティ (、 注記ストリームが有効になっているテーブルの場合、データイベントの |
DynamoDB |
|
| AWS Lambda | AWS Lambda 関数実行アクティビティ ( |
Lambda | AWS::Lambda::Function |
| Amazon S3 | 汎用バケットのオブジェクトに対する Amazon S3 オブジェクトレベルのAPIアクティビティ (、 |
S3 | AWS::S3::Object |
| AWS AppConfig |
|
AWS AppConfig | AWS::AppConfig::Configuration |
| AWS B2B データ交換 |
|
B2B データ交換 | AWS::B2BI::Transformer |
| Amazon Bedrock | エージェントエイリアスの Amazon Bedrock APIアクティビティ。 | Bedrock エージェントエイリアス | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | フローエイリアスの Amazon Bedrock APIアクティビティ。 | Bedrock フローエイリアス | AWS::Bedrock::FlowAlias |
| Amazon Bedrock | ガードレールでの Amazon Bedrock APIアクティビティ。 | Bedrock ガードレール | AWS::Bedrock::Guardrail |
| Amazon Bedrock | ナレッジベースの Amazon Bedrock APIアクティビティ。 | Bedrock ナレッジベース | AWS::Bedrock::KnowledgeBase |
| Amazon Bedrock | モデルでの Amazon Bedrock APIアクティビティ。 | Bedrock モデル | AWS::Bedrock::Model |
| Amazon CloudFront | CloudFront API でのアクティビティ KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| AWS Cloud Map | 名前空間 でのAWS Cloud Map APIアクティビティ。 | AWS Cloud Map 名前空間 | |
| AWS Cloud Map | サービス でのAWS Cloud Map APIアクティビティ。 | AWS Cloud Map service | |
| AWS CloudTrail | CloudTrail |
CloudTrail チャンネル | AWS::CloudTrail::Channel |
| Amazon CloudWatch | メトリクスに対する Amazon CloudWatch API アクティビティ。 |
CloudWatch メトリクス | AWS::CloudWatch::Metric |
| Amazon CloudWatch RUM | アプリモニターでの Amazon CloudWatch RUM APIアクティビティ。 |
RUM アプリモニター | AWS::RUM::AppMonitor |
| Amazon CodeWhisperer | カスタマイズに対する Amazon CodeWhisperer API アクティビティ。 | CodeWhisperer カスタマイズ | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | プロファイルでの Amazon CodeWhisperer API アクティビティ。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | Amazon Cognito ID プールでの Amazon Cognito APIアクティビティ 。 https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-info-in-cloudtrail.html#identity-pools-cloudtrail-events |
Cognito アイデンティティプール | AWS::Cognito::IdentityPool |
| AWS Data Exchange | AWS Data Exchange API アセットに対するアクティビティ。 |
Data Exchange アセット |
|
| AWS Deadline Cloud | Deadline Cloud API フリートでのアクティビティ。 |
Deadline Cloud フリート |
|
| AWS Deadline Cloud | Deadline Cloud API ジョブでのアクティビティ。 |
Deadline Cloud ジョブ |
|
| AWS Deadline Cloud | Deadline Cloud API キューでのアクティビティ。 |
Deadline Cloud キュー |
|
| AWS Deadline Cloud | Deadline Cloud API ワーカーに対するアクティビティ。 |
Deadline Cloud ワーカー |
|
| Amazon DynamoDB | ストリームでの Amazon DynamoDB APIアクティビティ。 |
DynamoDB Streams | AWS::DynamoDB::Stream |
| AWS エンドユーザーメッセージングソーシャル | 電話番号 でのAWS エンドユーザーメッセージングソーシャルAPIアクティビティIDs。 | ソーシャルメッセージ電話番号 ID | AWS::SocialMessaging::PhoneNumberId |
| Amazon Elastic Block Store | Amazon Elastic Block Store (EBS) はAPIs、、 |
Amazon EBS Direct APIs | AWS::EC2::Snapshot |
| Amazon EMR | 先書きログワークスペースでの Amazon EMRAPIアクティビティ。 | EMR 先書きログワークスペース | AWS::EMRWAL::Workspace |
| Amazon FinSpace | Amazon FinSpace API 環境でのアクティビティ。 |
FinSpace | AWS::FinSpace::Environment |
| AWS Glue | AWS Glue API Lake Formation によって作成されたテーブルに対するアクティビティ。 |
Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | ディテクター の Amazon GuardDuty API アクティビティ。 https://docs.aws.amazon.com/guardduty/latest/ug/logging-using-cloudtrail.html#guardduty-data-events-in-cloudtrail |
GuardDuty ディテクター | AWS::GuardDuty::Detector |
| AWS HealthImaging | AWS HealthImaging API データストアでのアクティビティ。 |
MedicalImaging データストア | AWS::MedicalImaging::Datastore |
| AWS IoT | IoT 証明書 | AWS::IoT::Certificate |
|
| AWS IoT | IoT モノ | AWS::IoT::Thing |
|
| AWS IoT Greengrass Version 2 | コンポーネントバージョンの Greengrass コアデバイスからの Greengrass APIアクティビティ。 注記Greengrass はアクセス拒否イベントを記録しません。 |
IoT Greengrass コンポーネントバージョン | AWS::GreengrassV2::ComponentVersion |
| AWS IoT Greengrass Version 2 | デプロイ上の Greengrass コアデバイスからの Greengrass APIアクティビティ。 注記Greengrass はアクセス拒否イベントを記録しません。 |
IoT Greengrass デプロイ | AWS::GreengrassV2::Deployment |
| AWS IoT SiteWise | アセット での IoT SiteWise API アクティビティ。 https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAsset.html |
IoT SiteWise アセット | AWS::IoTSiteWise::Asset |
| AWS IoT SiteWise | 時系列 での IoT SiteWise API アクティビティ。 https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribeTimeSeries.html |
IoT SiteWise 時系列 | AWS::IoTSiteWise::TimeSeries |
| AWS IoT TwinMaker | エンティティ での IoT TwinMaker API アクティビティ。 https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_CreateEntity.html |
IoT TwinMaker エンティティ | AWS::IoTTwinMaker::Entity |
| AWS IoT TwinMaker | ワークスペース での IoT TwinMaker API アクティビティ。 https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_CreateWorkspace.html |
IoT TwinMaker ワークスペース | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra インテリジェントランキング | リスコア実行プランの Amazon Kendra Intelligent Ranking APIアクティビティ 。 |
Kendra ランキング | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces (Apache Cassandra 向け) | テーブル上の Amazon Keyspaces APIアクティビティ。 | Cassandra テーブル | AWS::Cassandra::Table |
| Amazon Kinesis Data Streams | ストリーム での Kinesis Data Streams APIアクティビティ。 | Kinesis ストリーム | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | ストリーミングコンシューマー での Kinesis Data Streams APIアクティビティ。 https://docs.aws.amazon.com/streams/latest/dev/building-consumers.html | Kinesis ストリームコンシューマー | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | Kinesis Video Streams は、 GetMediaや への呼び出しなど、ビデオストリームでのAPIアクティビティをストリーミングしますPutMedia。 |
Kinesis ビデオストリーム | AWS::KinesisVideo::Stream |
| Amazon Machine Learning | ML モデルでのMachine LearningAPIアクティビティ。 | マッハリング学習 MlModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | ネットワーク上の Amazon Managed Blockchain APIアクティビティ。 |
Managed Blockchain ネットワーク | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | Amazon Managed Blockchain JSON-RPC |
Managed Blockchain | AWS::ManagedBlockchain::Node |
| Amazon Neptune Graph | Neptune グラフ上のクエリ、アルゴリズム、ベクトル検索などのデータAPIアクティビティ。 |
Neptune Graph | AWS::NeptuneGraph::Graph |
| Amazon One Enterprise | での Amazon One Enterprise APIアクティビティUKey。 |
Amazon One UKey | AWS::One::UKey |
| Amazon One Enterprise | ユーザーに対する Amazon One Enterprise APIアクティビティ。 |
Amazon One ユーザー | AWS::One::User |
| AWS Payment Cryptography | AWS Payment Cryptography API エイリアスでのアクティビティ。 | Payment Cryptography エイリアス | AWS::PaymentCryptography::Alias |
| AWS Payment Cryptography | AWS Payment Cryptography API キーに対するアクティビティ。 | Payment Cryptography キー | AWS::PaymentCryptography::Key |
| AWS Private CA | AWS Private CA Active Directory APIアクティビティ用のコネクタ。 |
AWS Private CA Active Directory 用コネクタ | AWS::PCAConnectorAD::Connector |
| AWS Private CA | AWS Private CA SCEPAPIアクティビティ用のコネクタ。 |
AWS Private CA のコネクタ SCEP | AWS::PCAConnectorSCEP::Connector |
| Amazon Q アプリ | Amazon Q Apps のデータAPIアクティビティ。 |
Amazon Q アプリ | AWS::QApps:QApp |
| Amazon Q Business | アプリケーションでの Amazon Q Business APIアクティビティ。 |
Amazon Q Business アプリケーション | AWS::QBusiness::Application |
| Amazon Q Business | データソースでの Amazon Q Business APIアクティビティ。 |
Amazon Q Business データソース | AWS::QBusiness::DataSource |
| Amazon Q Business | インデックスでの Amazon Q Business APIアクティビティ。 |
Amazon Q Business インデックス | AWS::QBusiness::Index |
| Amazon Q Business | ウェブエクスペリエンスでの Amazon Q Business APIアクティビティ。 |
Amazon Q Business ウェブエクスペリエンス | AWS::QBusiness::WebExperience |
| Amazon RDS | DB クラスターでの Amazon RDSAPIアクティビティ。 |
RDS データ API - DB クラスター | AWS::RDS::DBCluster |
| Amazon S3 | アクセスポイントでの Amazon S3 APIアクティビティ。 |
S3 アクセスポイント | AWS::S3::AccessPoint |
| Amazon S3 | ディレクトリバケット内のオブジェクトに対する Amazon S3 オブジェクトレベルのAPIアクティビティ (、 |
S3 Express | AWS::S3Express::Object |
| Amazon S3 | Amazon S3 Object Lambda アクセスポイントのAPIアクティビティ 、例えば |
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 on Outposts | S3 Outposts | AWS::S3Outposts::Object |
|
| Amazon SageMaker | エンドポイントでの Amazon SageMaker InvokeEndpointWithResponseStream アクティビティ。 |
SageMaker エンドポイント | AWS::SageMaker::Endpoint |
| Amazon SageMaker | 機能ストアでの Amazon SageMaker API アクティビティ。 |
SageMaker 特徴量ストア | AWS::SageMaker::FeatureGroup |
| Amazon SageMaker | 実験トライアルコンポーネント での Amazon SageMaker API アクティビティ。 https://docs.aws.amazon.com/sagemaker/latest/dg/experiments-monitoring.html |
SageMaker メトリクス実験トライアルコンポーネント | AWS::SageMaker::ExperimentTrialComponent |
| Amazon SNS | プラットフォームエンドポイントでの Amazon SNS |
SNS プラットフォームエンドポイント | AWS::SNS::PlatformEndpoint |
| Amazon SNS | トピックに関する Amazon SNS |
SNS トピック | AWS::SNS::Topic |
| Amazon SQS | メッセージに対する Amazon SQSAPIアクティビティ。 |
SQS | AWS::SQS::Queue |
| AWS Step Functions | ステートマシンでの Step Functions APIアクティビティ。 |
Step Functions ステートマシン | AWS::StepFunctions::StateMachine |
| AWS Supply Chain | AWS Supply Chain API インスタンスでのアクティビティ。 |
サプライチェーン | AWS::SCN::Instance |
| Amazon SWF | SWF ドメイン | AWS::SWF::Domain |
|
| AWS Systems Manager | コントロールチャネルでの Systems Manager APIアクティビティ。 | Systems Manager | AWS::SSMMessages::ControlChannel |
| AWS Systems Manager | マネージドノードでの Systems Manager APIアクティビティ。 | Systems Manager マネージドノード | AWS::SSM::ManagedNode |
| Amazon Timestream | データベースでの Amazon Timestream QueryAPIアクティビティ。 |
Timestream データベース | AWS::Timestream::Database |
| Amazon Timestream | テーブルでの Amazon Timestream QueryAPIアクティビティ。 |
Timestream テーブル | AWS::Timestream::Table |
| Amazon Verified Permissions | ポリシーストアでの Amazon Verified Permissions APIアクティビティ。 |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces シンクライアント | WorkSpaces デバイス上のシンクライアントAPIアクティビティ。 | シンクライアントデバイス | AWS::ThinClient::Device |
| Amazon WorkSpaces シンクライアント | WorkSpaces 環境でのシンクライアントAPIアクティビティ。 | シンクライアント環境 | AWS::ThinClient::Environment |
| AWS X-Ray | X-Ray トレース | AWS::XRay::Trace |
証跡またはイベントデータストアの作成時、デフォルトでは、データイベントは記録されません。 CloudTrail データイベントを記録するには、アクティビティを収集するサポートされているリソースまたはリソースタイプを明示的に追加する必要があります。詳細については、「 CloudTrail コンソールを使用した証跡の作成」および「コンソールを使用してイベントのイベントデータストア CloudTrailを作成する」を参照してください。
データイベントのログ記録には追加料金が適用されます。 CloudTrail 料金については、AWS CloudTrail 「料金
次の例は、Amazon SNSPublishアクションのデータイベントの単一のログレコードを示しています。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Bob", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "ExampleUser" }, "attributes": { "creationDate": "2023-08-21T16:44:05Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-08-21T16:48:37Z", "eventSource": "sns.amazonaws.com", "eventName": "Publish", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16", "requestParameters": { "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic", "message": "HIDDEN_DUE_TO_SECURITY_REASONS", "subject": "HIDDEN_DUE_TO_SECURITY_REASONS", "messageStructure": "json", "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "responseElements": { "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840" }, "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d", "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0", "readOnly": false, "resources": [{ "accountId": "123456789012", "type": "AWS::SNS::Topic", "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "123456789012", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com" } }
次の例は、Amazon Cognito GetCredentialsForIdentityアクションのデータイベントの単一のログレコードを示しています。
{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown" }, "eventTime": "2023-01-19T16:55:08Z", "eventSource": "cognito-identity.amazonaws.com", "eventName": "GetCredentialsForIdentity", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.4", "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity", "requestParameters": { "logins": { "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE", "expiration": "Jan 19, 2023 5:55:08 PM" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645", "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d", "readOnly": false, "resources": [{ "accountId": "111122223333", "type": "AWS::Cognito::IdentityPool", "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data" }
ネットワークアクティビティイベント
注記
ネットワークアクティビティイベントは のプレビューリリース中 CloudTrail であり、変更される可能性があります。
CloudTrail ネットワークアクティビティイベントを使用すると、VPCエンドポイント所有者は、プライベートから VPCへのVPCエンドポイントを使用して行われた呼び出しを記録 AWS APIできます AWS のサービス。ネットワークアクティビティイベントは、 内で実行されるリソースオペレーションを可視化しますVPC。
次のサービスのネットワークアクティビティイベントを記録できます。
-
AWS CloudTrail
-
Amazon EC2
-
AWS KMS
-
AWS Secrets Manager
ネットワークアクティビティイベントは、証跡またはイベントデータストアを作成するときにデフォルトではログに記録されません。ネットワークアクティビティイベントを記録する CloudTrail には、アクティビティを収集するイベントソースを明示的に設定する必要があります。詳細については、「ネットワークアクティビティイベントのログ記録」を参照してください。
ネットワークアクティビティイベントのログ記録には追加料金が適用されます。 CloudTrail 料金については、AWS CloudTrail 「料金
次の例は、VPCエンドポイントを横断した成功 AWS KMS ListKeysしたイベントを示しています。vpcEndpointId フィールドには、VPCエンドポイントの ID が表示されます。vpcEndpointAccountId フィールドには、VPCエンドポイント所有者のアカウント ID が表示されます。この例では、リクエストはVPCエンドポイント所有者によって行われました。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "ASIAIOSFODNN7EXAMPLE:role-name", "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "ASIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "Admin" }, "attributes": { "creationDate": "2024-06-04T23:10:46Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-06-04T23:12:50Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731", "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }
次の例は、VPCエンドポイントポリシー違反で失敗した AWS KMS ListKeysイベントを示しています。VPC ポリシー違反が発生したため、 フィールドerrorCodeと errorMessageフィールドの両方が表示されます。recipientAccountId および vpcEndpointAccountIdフィールドのアカウント ID は同じで、イベントがVPCエンドポイント所有者に送信されたことを示します。userIdentity 要素accountIdの は ではなくvpcEndpointAccountId、リクエストを行うユーザーがVPCエンドポイント所有者ではないことを示します。
{ "eventVersion": "1.09", "userIdentity": { "type": "AWSAccount", "principalId": "AKIAIOSFODNN7EXAMPLE", "accountId": "777788889999" }, "eventTime": "2024-07-15T23:57:12Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "errorCode": "VpceAccessDenied", "errorMessage": "The request was denied due to a VPC endpoint policy", "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374", "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }
Insights イベント
CloudTrail Insights イベントは、 CloudTrail 管理アクティビティを分析することで、アカウント内の異常なAPI呼び出しレートまたはエラーレートアクティビティをキャプチャします AWS 。Insights イベントは、関連する API、エラーコード、インシデント時間、統計などの関連情報を提供し、異常なアクティビティを理解して対処するのに役立ちます。 CloudTrail 証跡またはイベントデータストアでキャプチャされた他のタイプのイベントとは異なり、Insights イベントは、アカウントの一般的なAPI使用パターンと大きく異なるアカウントの使用またはエラーレートのログ記録の変更 CloudTrail を検出した場合にのみログに記録されます。
Insights イベントを生成する可能性のあるアクティビティの例を次に示します。
-
通常、アカウントは 1 分あたり 20 回以下の Amazon S3
deleteBucketAPI呼び出しをログに記録しますが、アカウントは 1 分あたり平均 100deleteBucketAPI回の呼び出しをログに記録し始めます。異常なアクティビティの開始時に Insights イベントが記録され、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。 -
通常、アカウントは Amazon への 1 分あたり 20 EC2
AuthorizeSecurityGroupIngress回の呼び出しを記録しますがAPI、アカウントは へのゼロ呼び出しをログに記録し始めますAuthorizeSecurityGroupIngress。異常なアクティビティの開始時に Insights イベントが記録され、10 分後、以上にアクティビティが終了すると、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。 -
通常 AWS Identity and Access Management API、アカウントは 、 で 7 日間に 1 つ未満の
AccessDeniedExceptionエラーを記録しますDeleteInstanceProfile。アカウントは、DeleteInstanceProfileAPI通話に対して 1 分あたり平均 12AccessDeniedExceptionエラーのログ記録を開始します。異常なエラーレートのアクティビティが発生した時に Insights イベントが記録されますが、この異常アクティビティの終了を示すために別の Insights イベントも記録されます。
これらの例は、説明のみを目的としています。結果はユースケースによって異なる場合があります。
CloudTrail Insights イベントを記録するには、新規または既存の証跡またはイベントデータストアで Insights イベントを明示的に有効にする必要があります。証跡の作成方法の詳細については、「 CloudTrail コンソールを使用した証跡の作成」を参照してください。イベントデータストアの作成方法の詳細については、「コンソールを使用して Insights イベントのイベントデータストアを作成する」を参照してください。
Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail 料金
CloudTrail Insights に異常なアクティビティを表示するためにログに記録されるイベントは 2 つあります。開始イベントと終了イベントです。次の例は、Application Auto Scaling が異常な回数呼び出APICompleteLifecycleActionされたときに発生した開始 Insights イベントの単一のログレコードを示しています。インサイトイベントの場合、eventCategory の値は Insight です。insightDetails ブロックは、イベントの状態、ソース、名前、インサイトのタイプ、および統計情報および属性を含むコンテキストを識別します。insightDetails ブロックの詳細については、「CloudTrail Insights insightDetails要素」を参照してください。
{ "eventVersion": "1.08", "eventTime": "2023-07-10T01:42:00Z", "awsRegion": "us-east-1", "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 9.82222E-5 }, "insight": { "average": 5.0 }, "insightDuration": 1, "baselineDuration": 10181 }, "attributions": [{ "attribute": "userIdentityArn", "insight": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3", "average": 5.0 }], "baseline": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 9.82222E-5 }] }, { "attribute": "userAgent", "insight": [{ "value": "codedeploy.amazonaws.com", "average": 5.0 }], "baseline": [{ "value": "codedeploy.amazonaws.com", "average": 9.82222E-5 }] }, { "attribute": "errorCode", "insight": [{ "value": "null", "average": 5.0 }], "baseline": [{ "value": "null", "average": 9.82222E-5 }] }] } }, "eventCategory": "Insight" }
