翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudTrail イベントについて
のイベント CloudTrail は、 AWS アカウント内のアクティビティの記録です。このアクティビティは、IAM アイデンティティによって実行されたアクション、または によってモニタリング可能なサービスにすることができます CloudTrail。 CloudTrail イベントは、、 SDK AWS Management Console、コマンドラインツール、およびその他の を通じて行われた API と非 API アカウントアクティビティの両方の履歴を提供します AWS のサービス。 AWS SDKs
CloudTrail ログファイルはパブリック API コールの順序付けられたスタックトレースではないため、イベントは特定の順序で表示されません。
CloudTrail イベントには 3 つのタイプがあります。
デフォルトでは、証跡とイベントデータストアは管理イベントをログ記録しますが、データイベントまたは Insights イベントは記録しません。
すべてのイベントタイプは CloudTrail JSON ログ形式を使用します。ログには、リクエストを行った人、使用されたサービス、実行されたアクション、アクションのパラメータなど、アカウントのリソースに対するリクエストに関する情報が含まれています。イベントデータが Records
の配列で囲まれています。
CloudTrail イベントレコードフィールドの詳細については、「」を参照してくださいCloudTrail レコードの内容。
管理イベント
管理イベントは、 AWS アカウントのリソースで実行される管理オペレーションに関する情報を提供します。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。
管理イベントには、次のようなものがあります。
-
セキュリティの設定 (API AWS Identity and Access Management
AttachRolePolicy
オペレーションなど)。 -
デバイスの登録 (例: Amazon EC2
CreateDefaultVpc
API オペレーション)。 -
データをルーティングするルールの設定 (例: Amazon EC2
CreateSubnet
API オペレーション)。 -
ログ記録の設定 (API AWS CloudTrail
CreateTrail
オペレーションなど)。
管理イベントは、アカウントで発生する非 API イベントを含む場合もあります。例えば、ユーザーがアカウントにサインインすると、 はConsoleLogin
イベントを CloudTrail ログに記録します。詳細については、「によってキャプチャされた非 API イベント CloudTrail」を参照してください。
デフォルトでは、 CloudTrail 証跡と CloudTrail Lake イベントデータストアは管理イベントをログに記録します。管理イベントのログ記録の詳細については、「」を参照してください管理イベントのログ記録。
次の例は、管理イベントの単一のログレコードを示しています。このイベントでは、 という名前の IAM Mary_Major
ユーザーが aws cloudtrail start-logging コマンドを実行して CloudTrail StartLogging
アクションを呼び出し、 という名前の証跡でログ記録プロセスを開始しましたmyTrail
。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLE6E4XEGITWATV6R", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "attributes": { "creationDate": "2023-07-19T21:11:57Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-19T21:33:41Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging", "requestParameters": { "name": "myTrail" }, "responseElements": null, "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932", "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
次の例では、Paulo_Santos
という名前の IAM ユーザーが aws cloudtrail start-event-data-store-ingestion コマンドを実行し、StartEventDataStoreIngestion
アクションを呼び出し、イベントデータストア上で取り込みを開始しました。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLEPHCNW5EQV7NA54", "arn": "arn:aws:iam::123456789012:user/Paulo_Santos", "accountId": "123456789012", "accessKeyId": "(AKIAIOSFODNN7EXAMPLE", "userName": "Paulo_Santos", "sessionContext": { "attributes": { "creationDate": "2023-07-21T21:55:30Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-21T21:57:28Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartEventDataStoreIngestion", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion", "requestParameters": { "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41" }, "responseElements": null, "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f", "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
データイベント
データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。
データイベントには、次のようなものがあります。
-
S3 バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (
GetObject
、DeleteObject
、およびPutObject
API オペレーションなど)。 S3 -
AWS Lambda 関数実行アクティビティ (
Invoke
API)。 -
CloudTrail
PutAuditEvents
外部からのイベントをログに記録するために使用される CloudTrail Lake チャネルでの アクティビティ AWS。 -
トピックに関する Amazon SNS
Publish
およびPublishBatch
API オペレーション。
証跡およびイベントデータストアで使用できるデータイベントタイプは、以下の表のとおりです。[データイベントタイプ (コンソール)] 列には、コンソールで有効な選択項目が表示されます。resources.type 値列には、 AWS CLI または CloudTrail APIs を使用して、証跡またはイベントデータストアにそのタイプのデータイベントを含めるように指定するresources.type
値が表示されます。
証跡では、基本イベントセレクタまたはアドバンストイベントセレクタを使用して、汎用バケット、Lambda 関数、DynamoDB テーブル (テーブルの最初の 3 行に表示) 内の Amazon S3 オブジェクトのデータイベントをログ記録できます。残りの行に表示されるデータイベントタイプをログに記録するには、高度イベントセレクタのみを使用できます。
イベントデータストアの場合、データイベントを含めるには、詳細イベントセレクタのみを使用できます。
AWS のサービス | 説明 | データイベントタイプ (コンソール) | resources.type 値 |
---|---|---|---|
Amazon DynamoDB | テーブルに対する Amazon DynamoDB 項目レベルの API アクティビティ (、 注記ストリームが有効になっているテーブルの場合、データイベントの |
DynamoDB |
|
AWS Lambda | AWS Lambda 関数実行アクティビティ ( |
Lambda | AWS::Lambda::Function |
Amazon S3 | 汎用バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ ( |
S3 | AWS::S3::Object |
AWS AppConfig |
|
AWS AppConfig | AWS::AppConfig::Configuration |
AWS B2B データ交換 |
|
B2B データ交換 | AWS::B2BI::Transformer |
Amazon Bedrock | エージェントエイリアスでの Amazon Bedrock API アクティビティ。 | Bedrock エージェントエイリアス | AWS::Bedrock::AgentAlias |
Amazon Bedrock | ナレッジベースでの Amazon Bedrock API アクティビティ。 | Bedrock ナレッジベース | AWS::Bedrock::KnowledgeBase |
Amazon CloudFront | CloudFront での API アクティビティKeyValueStore。 |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
AWS Cloud Map | 名前空間 での AWS Cloud Map API アクティビティ。 | AWS Cloud Map 名前空間 |
|
AWS Cloud Map | サービス での AWS Cloud Map API アクティビティ。 | AWS Cloud Map service |
|
AWS CloudTrail | CloudTrail |
CloudTrail チャンネル | AWS::CloudTrail::Channel |
Amazon CloudWatch | メトリクスに対する Amazon CloudWatch API アクティビティ。 |
CloudWatch メトリクス | AWS::CloudWatch::Metric |
Amazon CodeWhisperer | カスタマイズに対する Amazon CodeWhisperer API アクティビティ。 | CodeWhisperer カスタマイズ | AWS::CodeWhisperer::Customization |
Amazon CodeWhisperer | プロファイルの Amazon CodeWhisperer API アクティビティ。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
Amazon Cognito | Amazon Cognito アイデンティティプール に対する Amazon Cognito API アクティビティ。 |
Cognito アイデンティティプール | AWS::Cognito::IdentityPool |
Amazon DynamoDB | ストリームに対する Amazon DynamoDB API アクティビティ |
DynamoDB Streams | AWS::DynamoDB::Stream |
Amazon Elastic Block Store | Amazon EBS スナップショットの |
Amazon EBS ダイレクト API | AWS::EC2::Snapshot |
Amazon EMR | ログ先行書き込みワークスペースでの Amazon EMR API アクティビティ。 | EMR ログ先行書き込みワークスペース | AWS::EMRWAL::Workspace |
Amazon FinSpace | 環境に対する Amazon FinSpace API アクティビティ。 |
FinSpace | AWS::FinSpace::Environment |
AWS Glue | AWS Glue Lake Formation によって作成されたテーブルに対する API アクティビティ。 |
Lake Formation | AWS::Glue::Table |
Amazon GuardDuty | ディテクター の Amazon GuardDuty API アクティビティ。 https://docs.aws.amazon.com/guardduty/latest/ug/logging-using-cloudtrail.html#guardduty-data-events-in-cloudtrail |
GuardDuty ディテクター | AWS::GuardDuty::Detector |
AWS HealthImaging | AWS HealthImaging データストアでの API アクティビティ。 |
MedicalImaging データストア | AWS::MedicalImaging::Datastore |
AWS IoT | IoT 証明書 | AWS::IoT::Certificate |
|
AWS IoT | IoT モノ | AWS::IoT::Thing |
|
AWS IoT Greengrass Version 2 | コンポーネントバージョンの Greengrass コアデバイスからの Greengrass API アクティビティ。 注記Greengrass はアクセス拒否イベントを記録しません。 |
IoT Greengrass コンポーネントバージョン | AWS::GreengrassV2::ComponentVersion |
AWS IoT Greengrass Version 2 | デプロイ上の Greengrass コアデバイスからの Greengrass API アクティビティ。 注記Greengrass はアクセス拒否イベントを記録しません。 |
IoT Greengrass デプロイ | AWS::GreengrassV2::Deployment |
AWS IoT SiteWise | アセット での IoT SiteWise API アクティビティ。 https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAsset.html |
IoT SiteWise アセット | AWS::IoTSiteWise::Asset |
AWS IoT SiteWise | 時系列 での IoT SiteWise API アクティビティ。 https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribeTimeSeries.html |
IoT SiteWise 時系列 | AWS::IoTSiteWise::TimeSeries |
AWS IoT TwinMaker | エンティティ での IoT TwinMaker API アクティビティ。 https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_CreateEntity.html |
IoT TwinMaker エンティティ | AWS::IoTTwinMaker::Entity |
AWS IoT TwinMaker | ワークスペース での IoT TwinMaker API アクティビティ。 https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_CreateWorkspace.html |
IoT TwinMaker ワークスペース | AWS::IoTTwinMaker::Workspace |
Amazon Kendra インテリジェントランキング | リスコア実行プラン に対する Amazon Kendra Intelligent Ranking API アクティビティ。 |
Kendra ランキング | AWS::KendraRanking::ExecutionPlan |
Amazon Keyspaces (Apache Cassandra 向け) | テーブルでの Amazon Keyspaces API アクティビティ。 | Cassandra テーブル | AWS::Cassandra::Table |
Amazon Kinesis Data Streams | ストリーム での Kinesis Data Streams API アクティビティ。 | Kinesis ストリーム | AWS::Kinesis::Stream |
Amazon Kinesis Data Streams | ストリームコンシューマー での Kinesis Data Streams API アクティビティ。 | Kinesis ストリームコンシューマー | AWS::Kinesis::StreamConsumer |
Amazon Kinesis Video Streams | GetMedia や への呼び出しなど、ビデオストリームでの Kinesis Video Streams API アクティビティPutMedia 。 |
Kinesis ビデオストリーム | AWS::KinesisVideo::Stream |
Amazon Machine Learning | ML モデルでのMachine Learning API アクティビティ。 | Maching Learning MlModel | AWS::MachineLearning::MlModel |
Amazon Managed Blockchain | ネットワーク上の Amazon Managed Blockchain API アクティビティ。 |
Managed Blockchain ネットワーク | AWS::ManagedBlockchain::Network |
Amazon Managed Blockchain |
|
Managed Blockchain | AWS::ManagedBlockchain::Node |
Amazon Neptune Graph | Neptune Graph でのクエリ、アルゴリズム、ベクトル検索などのデータ API アクティビティ。 |
Neptune Graph | AWS::NeptuneGraph::Graph |
AWS Private CA | AWS Private CA Connector for Active Directory API アクティビティ。 |
AWS Private CA Connector for Active Directory | AWS::PCAConnectorAD::Connector |
AWS Private CA | AWS Private CA SCEP API アクティビティ用のコネクタ。 |
AWS Private CA SCEP 用コネクタ | AWS::PCAConnectorSCEP::Connector |
Amazon Q アプリ | Amazon Q Apps での Data API アクティビティ。 |
Amazon Q アプリ | AWS::QApps:QApp |
Amazon Q Business | アプリケーション上の Amazon Q Business API アクティビティ。 |
Amazon Q Business アプリケーション | AWS::QBusiness::Application |
Amazon Q Business | データソース上の Amazon Q Business API アクティビティ。 |
Amazon Q Business データソース | AWS::QBusiness::DataSource |
Amazon Q Business | インデックスでの Amazon Q Business API アクティビティ。 |
Amazon Q Business インデックス | AWS::QBusiness::Index |
Amazon Q Business | ウェブエクスペリエンスでの Amazon Q Business API アクティビティ。 |
Amazon Q Business ウェブエクスペリエンス | AWS::QBusiness::WebExperience |
Amazon RDS | DB クラスターでの Amazon RDS API アクティビティ。 |
RDS Data API - DB クラスター | AWS::RDS::DBCluster |
Amazon S3 | アクセスポイントでの Amazon S3 API アクティビティ。 |
S3 アクセスポイント | AWS::S3::AccessPoint |
Amazon S3 | Amazon S3 Object Lambda アクセスポイント API アクティビティ 、 |
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
Amazon S3 on Outposts | Amazon S3 on Outposts オブジェクトレベル API アクティビティ。 |
S3 Outposts | AWS::S3Outposts::Object |
Amazon SageMaker | エンドポイントでの Amazon SageMaker InvokeEndpointWithResponseStream アクティビティ。 |
SageMaker エンドポイント | AWS::SageMaker::Endpoint |
Amazon SageMaker | 特徴量ストアでの Amazon SageMaker API アクティビティ。 |
SageMaker 特徴量ストア | AWS::SageMaker::FeatureGroup |
Amazon SageMaker | 実験トライアルコンポーネント での Amazon SageMaker API アクティビティ。 https://docs.aws.amazon.com/sagemaker/latest/dg/experiments-monitoring.html |
SageMaker メトリクス実験トライアルコンポーネント | AWS::SageMaker::ExperimentTrialComponent |
Amazon SNS | プラットフォームエンドポイントでの Amazon SNS |
SNS プラットフォームエンドポイント | AWS::SNS::PlatformEndpoint |
Amazon SNS | トピックに関する Amazon SNS |
SNS トピック | AWS::SNS::Topic |
Amazon SQS | メッセージでの Amazon SQS API アクティビティ。 |
SQS | AWS::SQS::Queue |
AWS Step Functions | ステートマシンでの Step Functions API アクティビティ。 |
Step Functions ステートマシン | AWS::StepFunctions::StateMachine |
AWS Supply Chain | AWS Supply Chain インスタンスでの API アクティビティ。 |
サプライチェーン | AWS::SCN::Instance |
Amazon SWF | ドメイン での Amazon SWF API アクティビティ。 https://docs.aws.amazon.com/amazonswf/latest/developerguide/swf-dev-domains.html |
SWF ドメイン | AWS::SWF::Domain |
AWS Systems Manager | コントロールチャネルでの Systems Manager API アクティビティ。 | Systems Manager | AWS::SSMMessages::ControlChannel |
AWS Systems Manager | マネージドノードでの Systems Manager API アクティビティ。 | Systems Manager マネージドノード | AWS::SSM::ManagedNode |
Amazon Timestream | データベース上の Amazon Timestream Query API アクティビティ。 |
Timestream データベース | AWS::Timestream::Database |
Amazon Timestream | テーブル上の Amazon Timestream Query API アクティビティ。 |
Timestream テーブル | AWS::Timestream::Table |
Amazon Verified Permissions | ポリシーストア上の Amazon Verified Permissions API アクティビティ。 |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
Amazon WorkSpaces シンクライアント | WorkSpaces デバイス上のシンクライアント API アクティビティ。 | シンクライアントデバイス | AWS::ThinClient::Device |
Amazon WorkSpaces シンクライアント | WorkSpaces 環境上のシンクライアント API アクティビティ。 | シンクライアント環境 | AWS::ThinClient::Environment |
AWS X-Ray | X-Ray トレース | AWS::XRay::Trace |
証跡またはイベントデータストアの作成時、デフォルトでは、データイベントは記録されません。 CloudTrail データイベントを記録するには、アクティビティを収集するサポートされているリソースまたはリソースタイプを明示的に追加する必要があります。詳細については、「 CloudTrail コンソールを使用した証跡の作成」および「コンソールを使用してイベントのイベントデータストア CloudTrailを作成する」を参照してください。
データイベントのログ記録には追加料金が適用されます。 CloudTrail 料金については、「 AWS CloudTrail の料金
次の例は、Amazon SNS Publish
アクションのデータイベントの単一のログレコードを示しています。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Bob", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "ExampleUser" }, "attributes": { "creationDate": "2023-08-21T16:44:05Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-08-21T16:48:37Z", "eventSource": "sns.amazonaws.com", "eventName": "Publish", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16", "requestParameters": { "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic", "message": "HIDDEN_DUE_TO_SECURITY_REASONS", "subject": "HIDDEN_DUE_TO_SECURITY_REASONS", "messageStructure": "json", "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "responseElements": { "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840" }, "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d", "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0", "readOnly": false, "resources": [{ "accountId": "123456789012", "type": "AWS::SNS::Topic", "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "123456789012", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com" } }
次の例は、Amazon Cognito GetCredentialsForIdentity
アクションのデータイベントの単一のログレコードを示しています。
{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown" }, "eventTime": "2023-01-19T16:55:08Z", "eventSource": "cognito-identity.amazonaws.com", "eventName": "GetCredentialsForIdentity", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.4", "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity", "requestParameters": { "logins": { "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE", "expiration": "Jan 19, 2023 5:55:08 PM" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645", "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d", "readOnly": false, "resources": [{ "accountId": "111122223333", "type": "AWS::Cognito::IdentityPool", "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data" }
Insights イベント
CloudTrail Insights イベントは、 CloudTrail 管理アクティビティを分析することで、アカウントの異常な API コールレートまたはエラーレートアクティビティをキャプチャします AWS 。Insights イベントは、関連する API、エラーコード、インシデント時間、統計情報などの関連情報を提供し、異常なアクティビティについて理解して対処するのに役立ちます。 CloudTrail 証跡またはイベントデータストアでキャプチャされた他のタイプのイベントとは異なり、Insights イベントは、 がアカウントの API 使用量またはエラー率のログ記録の変更 CloudTrail を検出した場合にのみログに記録されます。
Insights イベントを生成する可能性のあるアクティビティの例を次に示します。
-
通常、アカウントは Amazon S3
deleteBucket
API コールを 1 分あたり 20 個までログに記録しますが、アカウントは 1 分あたり平均 100 個のdeleteBucket
API コールを開始しています。異常なアクティビティの開始時に Insights イベントが記録され、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。 -
通常、アカウントは Amazon EC2
AuthorizeSecurityGroupIngress
API のコールを 1 分あたり 20 個を記録しますが、アカウントはAuthorizeSecurityGroupIngress
へのコールをまったく記録し始めていません。異常なアクティビティの開始時に Insights イベントが記録され、10 分後、以上にアクティビティが終了すると、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。 -
通常は、アカウントで AWS Identity and Access Management API
DeleteInstanceProfile
に関するAccessDeniedException
エラーのログ記録が 7 日間に 1 つもありません。アカウントがDeleteInstanceProfile
API コールで 1 分あたり平均 12AccessDeniedException
エラーのログを記録し始めます。異常なエラーレートのアクティビティが発生した時に Insights イベントが記録されますが、この異常アクティビティの終了を示すために別の Insights イベントも記録されます。
これらの例は、説明のみを目的としています。結果はユースケースによって異なる場合があります。
CloudTrail Insights イベントをログに記録するには、新規または既存の証跡またはイベントデータストアで Insights イベントを明示的に有効にする必要があります。証跡の作成方法の詳細については、「 CloudTrail コンソールを使用した証跡の作成」を参照してください。イベントデータストアの作成方法の詳細については、「コンソールを使用して Insights イベントのイベントデータストアを作成する」を参照してください。
Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail の料金
CloudTrail Insights で異常なアクティビティを表示するためにログに記録されるイベントは、開始イベントと終了イベントの 2 つです。次の例は、アプリケーション Auto Scaling API CompleteLifecycleAction
が異常な回数呼び出されたときに発生した開始インサイトイベントの 1 つのログレコードを示しています。インサイトイベントの場合、eventCategory
の値は Insight
です。insightDetails
ブロックは、イベントの状態、ソース、名前、インサイトのタイプ、および統計情報および属性を含むコンテキストを識別します。insightDetails
ブロックの詳細については、「CloudTrail insightDetailsインサイト要素」を参照してください。
{ "eventVersion": "1.08", "eventTime": "2023-07-10T01:42:00Z", "awsRegion": "us-east-1", "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 9.82222E-5 }, "insight": { "average": 5.0 }, "insightDuration": 1, "baselineDuration": 10181 }, "attributions": [{ "attribute": "userIdentityArn", "insight": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3", "average": 5.0 }], "baseline": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 9.82222E-5 }] }, { "attribute": "userAgent", "insight": [{ "value": "codedeploy.amazonaws.com", "average": 5.0 }], "baseline": [{ "value": "codedeploy.amazonaws.com", "average": 9.82222E-5 }] }, { "attribute": "errorCode", "insight": [{ "value": "null", "average": 5.0 }], "baseline": [{ "value": "null", "average": 9.82222E-5 }] }] } }, "eventCategory": "Insight" }