翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudTrail のイベントは、 AWS アカウントのアクティビティの記録です。このアクティビティは、IAM アイデンティティによるアクション、または CloudTrail が監視するサービスです。CloudTrail イベントは、、 AWS SDKs AWS Management Console、コマンドラインツール、その他を通じて行われた API アカウントアクティビティと API 以外のアカウントアクティビティの両方の履歴を提供します AWS のサービス。
CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、イベントは特定の順序で表示されません。
CloudTrail イベントには 4 つのタイプがあります。
-
注記
ネットワークアクティビティイベントは CloudTrail のプレビューリリースであり、変更される可能性があります。
デフォルトでは、証跡とイベントデータストアによって管理イベントがログに記録されますが、データイベント、ネットワークアクティビティイベント、Insights イベントは記録されません。
すべてのイベントタイプで、CloudTrail JSON ログ形式が使用されます。ログには、リクエストを行った人、使用されたサービス、実行されたアクション、アクションのパラメータなど、アカウントのリソースに対するリクエストに関する情報が含まれています。イベントデータが Records の配列で囲まれています。
CloudTrail イベントのレコードフィールドの詳細については、「CloudTrail レコードの内容」を参照してください。
管理イベント
管理イベントは、 AWS アカウントのリソースで実行される管理オペレーションに関する情報を提供します。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。
管理イベントには、次のようなものがあります。
-
セキュリティの設定 (API AWS Identity and Access Management
AttachRolePolicyオペレーションなど)。 -
デバイスの登録 (例: Amazon EC2
CreateDefaultVpcAPI オペレーション)。 -
データをルーティングするルールの設定 (例: Amazon EC2
CreateSubnetAPI オペレーション)。 -
ログ記録の設定 (API AWS CloudTrail
CreateTrailオペレーションなど)。
管理イベントは、アカウントで発生する非 API イベントを含む場合もあります。例えば、ユーザーがアカウントにサインインすると、CloudTrail は ConsoleLogin イベントをログに記録します。詳細については、「CloudTrail によってキャプチャされる API 以外のイベント」を参照してください。
デフォルトでは、CloudTrail 証跡と CloudTrail Lake イベントデータはログ管理イベントを保存します。管理イベントのログ記録に関する詳細については、「管理イベントのログ記録」を参照してください。
次の例は、管理イベントの単一のログレコードを示しています。このイベントでは、Mary_Major という名前のIAM ユーザーが aws cloudtrail start-logging コマンドを実行し、CloudTrail の StartLogging アクションを呼び出し、myTrail という証跡上でログ記録プロセスを開始しています。
{
"eventVersion": "1.09",
"userIdentity": {
"type": "IAMUser",
"principalId": "EXAMPLE6E4XEGITWATV6R",
"arn": "arn:aws:iam::123456789012:user/Mary_Major",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "Mary_Major",
"sessionContext": {
"attributes": {
"creationDate": "2023-07-19T21:11:57Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-07-19T21:33:41Z",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "StartLogging",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging",
"requestParameters": {
"name": "myTrail"
},
"responseElements": null,
"requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932",
"eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
},
"sessionCredentialFromConsole": "true"
}次の例では、Paulo_Santos という名前の IAM ユーザーが aws cloudtrail start-event-data-store-ingestion コマンドを実行し、StartEventDataStoreIngestion アクションを呼び出し、イベントデータストア上で取り込みを開始しました。
{
"eventVersion": "1.09",
"userIdentity": {
"type": "IAMUser",
"principalId": "EXAMPLEPHCNW5EQV7NA54",
"arn": "arn:aws:iam::123456789012:user/Paulo_Santos",
"accountId": "123456789012",
"accessKeyId": "(AKIAIOSFODNN7EXAMPLE",
"userName": "Paulo_Santos",
"sessionContext": {
"attributes": {
"creationDate": "2023-07-21T21:55:30Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-07-21T21:57:28Z",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "StartEventDataStoreIngestion",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion",
"requestParameters": {
"eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41"
},
"responseElements": null,
"requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f",
"eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
},
"sessionCredentialFromConsole": "true"
}データイベント
データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。
データイベントには、次のようなものがあります。
-
S3 バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例:
GetObject、DeleteObject、PutObjectAPI オペレーション)。 -
AWS Lambda 関数実行アクティビティ (
InvokeAPI)。 -
外部からの AWSイベントをログに記録するために使用される CloudTrail Lake チャネル での CloudTrail
PutAuditEventsアクティビティ。 -
トピックに関する Amazon SNS
PublishおよびPublishBatchAPI オペレーション。
次の表は、証跡とイベントデータストアで使用できるリソースタイプを示しています。リソースタイプ (コンソール) 列には、コンソールで適切な選択が表示されます。resources.type 値の列には、 AWS CLI または CloudTrail APIs を使用して、証跡またはイベントデータストアにそのタイプのデータイベントを含めるように指定するresources.type値が表示されます。
証跡の場合、ベーシックまたは高度なイベントセレクタを使用して、汎用バケット、Lambda 関数、DynamoDB テーブル (表の最初の 3 行に表示) の Amazon S3 オブジェクトのデータイベントのログを記録することができます。残りの行に表示されるリソースタイプをログに記録するには、高度なイベントセレクタのみを使用できます。
イベントデータストアの場合、データイベントを含めるには、詳細イベントセレクタのみを使用できます。
| AWS のサービス | 説明 | リソースタイプ (コンソール) | resources.type 値 |
|---|---|---|---|
| Amazon DynamoDB | テーブルでの Amazon DynamoDB アイテムレベルの API アクティビティ (例: 注記ストリームが有効になっているテーブルの場合、データイベントの |
DynamoDB |
|
| AWS Lambda | AWS Lambda 関数実行アクティビティ ( |
Lambda | AWS::Lambda::Function |
| Amazon S3 | 汎用バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例: |
S3 | AWS::S3::Object |
| AWS AppConfig |
|
AWS AppConfig | AWS::AppConfig::Configuration |
| AWS AppSync | AppSync GraphQL API での APIs AWS AppSync アクティビティ。 |
AppSync GraphQL | AWS::AppSync::GraphQL |
| AWS B2B データ交換 |
|
B2B データ交換 | AWS::B2BI::Transformer |
| AWS Backup | AWS Backup 検索ジョブでの検索データ API アクティビティ。 |
AWS Backup データ APIsの検索 | AWS::Backup::SearchJob |
| Amazon Bedrock | エージェントエイリアスでの Amazon Bedrock API アクティビティ。 | Bedrock エージェントエイリアス | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | 非同期呼び出しに対する Amazon Bedrock API アクティビティ。 | Bedrock 非同期呼び出し | AWS::Bedrock::AsyncInvoke |
| Amazon Bedrock | フローエイリアスでの Amazon Bedrock API アクティビティ。 | [Bedrock フローエイリアス] | AWS::Bedrock::FlowAlias |
| Amazon Bedrock | ガードレールでの Amazon Bedrock API アクティビティ。 | [Bedrock ガードレール] | AWS::Bedrock::Guardrail |
| Amazon Bedrock | インラインエージェントの Amazon Bedrock API アクティビティ。 | Bedrock Invoke Inline-Agent | AWS::Bedrock::InlineAgent |
| Amazon Bedrock | ナレッジベースでの Amazon Bedrock API アクティビティ。 | Bedrock ナレッジベース | AWS::Bedrock::KnowledgeBase |
| Amazon Bedrock | モデルでの Amazon Bedrock API アクティビティ。 | [Bedrock モデル] | AWS::Bedrock::Model |
| Amazon Bedrock | プロンプトに対する Amazon Bedrock API アクティビティ。 | Bedrock プロンプト | AWS::Bedrock::PromptVersion |
| Amazon CloudFront | KeyValueStore での CloudFront API アクティビティ。 |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| AWS Cloud Map | 名前空間での AWS Cloud Map API アクティビティ。 | AWS Cloud Map 名前空間 | |
| AWS Cloud Map | サービスでの AWS Cloud Map API アクティビティ。 | AWS Cloud Map service | |
| AWS CloudTrail | 外部からの AWSイベントをログに記録するために使用される CloudTrail Lake チャネル での CloudTrail |
[CloudTrail チャネル] | AWS::CloudTrail::Channel |
| アマゾン クラウドWatch | メトリクスに対する Amazon CloudWatch API アクティビティ。 |
[CloudWatch メトリクス] | AWS::CloudWatch::Metric |
| Amazon CloudWatch RUM | アプリモニターでの Amazon CloudWatch RUM API アクティビティ。 |
[RUM アプリモニター] | AWS::RUM::AppMonitor |
| Amazon CodeGuru Profiler | プロファイリンググループでの CodeGuru Profiler API アクティビティ。 | CodeGuru Profiler プロファイリンググループ | AWS::CodeGuruProfiler::ProfilingGroup |
| Amazon CodeWhisperer | カスタマイズでの Amazon CodeWhisperer API アクティビティ。 | CodeWhisperer のカスタマイズ | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | プロファイル上の Amazon CodeWhisperer API アクティビティ。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | Amazon Cognito アイデンティティプール に対する Amazon Cognito API アクティビティ。 |
Cognito アイデンティティプール | AWS::Cognito::IdentityPool |
| AWS Data Exchange | AWS Data Exchange アセットに対する API アクティビティ。 |
[Data Exchange アセット] |
|
| AWS Deadline Cloud | フリートでの Deadline Cloud API アクティビティ。 |
Deadline Cloud フリート |
|
| AWS Deadline Cloud | ジョブでの Deadline Cloud API アクティビティ。 |
Deadline Cloud ジョブ |
|
| AWS Deadline Cloud | キューでの Deadline Cloud API アクティビティ。 |
Deadline Cloud キュー |
|
| AWS Deadline Cloud | ワーカーに対する Deadline Cloud API アクティビティ。 |
Deadline Cloud ワーカー |
|
| Amazon DynamoDB | ストリームに対する Amazon DynamoDB API アクティビティ |
DynamoDB Streams | AWS::DynamoDB::Stream |
| AWS エンドユーザーメッセージング SMS | 発信元 ID AWS でのエンドユーザーメッセージング SMS API アクティビティ。 | [SMS Voice 発信元 ID] | AWS::SMSVoice::OriginationIdentity |
| AWS エンドユーザーメッセージング SMS | メッセージに対するAWS エンドユーザーメッセージング SMS API アクティビティ。 | SMS Voice メッセージ | AWS::SMSVoice::Message |
| AWS エンドユーザーメッセージングソーシャル | 電話番号 IDs に対する AWS End User Messaging Social API アクティビティ。 | [ソーシャルメッセージ電話番号 ID] | AWS::SocialMessaging::PhoneNumberId |
| AWS エンドユーザーメッセージングソーシャル | AWS Waba IDs での End User Messaging Social API アクティビティ。 | ソーシャルメッセージ Waba ID | AWS::SocialMessaging::WabaId |
| Amazon Elastic Block Store | Amazon EBS スナップショットの |
Amazon EBS ダイレクト API | AWS::EC2::Snapshot |
| Amazon EMR | ログ先行書き込みワークスペースでの Amazon EMR API アクティビティ。 | EMR ログ先行書き込みワークスペース | AWS::EMRWAL::Workspace |
| Amazon FinSpace | 環境に対する Amazon FinSpace API アクティビティ。 |
FinSpace | AWS::FinSpace::Environment |
| AWS Glue | AWS Glue Lake Formation によって作成されたテーブルに対する API アクティビティ。 |
Lake Formation | AWS::Glue::Table |
| アマゾン GuardDuty | 検出器 に対する Amazon GuardDuty API アクティビティ。 |
GuardDuty ディテクター | AWS::GuardDuty::Detector |
| AWS HealthImaging | データストアでのAWS HealthImaging API アクティビティ。 |
[医療用画像データストア] | AWS::MedicalImaging::Datastore |
| AWS IoT | 証明書に対する AWS IoT API アクティビティ。 |
IoT 証明書 | AWS::IoT::Certificate |
| AWS IoT | モノに対する AWS IoT API アクティビティ。 |
[IoT モノ] | AWS::IoT::Thing |
| AWS IoT Greengrass Version 2 | コンポーネントバージョンの Greengrass コアデバイスからの Greengrass API アクティビティ。 注記Greengrass はアクセス拒否イベントのログを記録しません。 |
[IoT Greengrass コンポーネントバージョン] | AWS::GreengrassV2::ComponentVersion |
| AWS IoT Greengrass Version 2 | デプロイ上の Greengrass コアデバイスからの Greengrass API アクティビティ。 注記Greengrass はアクセス拒否イベントのログを記録しません。 |
[IoT Greengrass デプロイ] | AWS::GreengrassV2::Deployment |
| AWS IoT SiteWise | [IoT SiteWise アセット] | AWS::IoTSiteWise::Asset |
|
| AWS IoT SiteWise | [IoT SiteWise 時系列] | AWS::IoTSiteWise::TimeSeries |
|
| AWS IoT SiteWise アシスタント | 会話に対する Sitewise Assistant API アクティビティ。 |
Sitewise Assistant の会話 | AWS::SitewiseAssistant::Conversation |
| AWS IoT TwinMaker | エンティティ上の IoT TwinMaker API アクティビティ。 |
[IoT TwinMaker エンティティ] | AWS::IoTTwinMaker::Entity |
| AWS IoT TwinMaker | ワークスペース上の IoT TwinMaker API アクティビティ。 |
[IoT TwinMaker ワークスペース] | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra インテリジェントランキング | リスコア実行プラン に対する Amazon Kendra Intelligent Ranking API アクティビティ。 |
Kendra ランキング | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces (Apache Cassandra 向け) | テーブル上の Amazon Keyspaces API アクティビティ。 | [Cassandra テーブル] | AWS::Cassandra::Table |
| Amazon Kinesis Data Streams | ストリーム 上の Kinesis Data Streams API アクティビティ。 | [Kinesis ストリーム] | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | ストリームコンシューマー上の Kinesis Data Streams API アクティビティ。 | [Kinesis ストリームコンシューマー] | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | GetMedia や PutMedia への呼び出しなど、ビデオストリーム上の Amazon Kinesis API アクティビティ。 |
Kinesis ビデオストリーム | AWS::KinesisVideo::Stream |
| Amazon Location Maps | Amazon Location Maps API アクティビティ。 | ジオマップ | AWS::GeoMaps::Provider |
| Amazon Location の場所 | Amazon Location Places API アクティビティ。 | 地理的場所 | AWS::GeoPlaces::Provider |
| Amazon Location Routes | Amazon Location Routes API アクティビティ。 | 地域ルート | AWS::GeoRoutes::Provider |
| Amazon Machine Learning | ML モデルの機械学習 API アクティビティ。 | [機械学習 MlModel] | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | ネットワーク上の Amazon Managed Blockchain API アクティビティ。 |
Managed Blockchain ネットワーク | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain |
|
Managed Blockchain | AWS::ManagedBlockchain::Node |
| Amazon Managed Workflows for Apache Airflow | 環境での Amazon MWAA API アクティビティ。 |
マネージド Apache Airflow | AWS::MWAA::Environment |
| Amazon Neptune Graph | Neptune Graph でのクエリ、アルゴリズム、ベクトル検索などのデータ API アクティビティ。 |
Neptune Graph | AWS::NeptuneGraph::Graph |
| Amazon One Enterprise | UKey の Amazon One Enterprise API アクティビティ。 |
[Amazon One UKey] | AWS::One::UKey |
| Amazon One Enterprise | ユーザーの Amazon One Enterprise API アクティビティ。 |
[Amazon One User] | AWS::One::User |
| AWS Payment Cryptography | AWS Payment Cryptography エイリアスの API アクティビティ。 | [Payment Cryptography Alias] | AWS::PaymentCryptography::Alias |
| AWS Payment Cryptography | AWS Payment Cryptography キーに対する API アクティビティ。 | [Payment Cryptography Key] | AWS::PaymentCryptography::Key |
| AWS Private CA | AWS Private CA Connector for Active Directory API アクティビティ。 |
AWS Private CA Connector for Active Directory | AWS::PCAConnectorAD::Connector |
| AWS Private CA | AWS Private CA SCEP API アクティビティ用のコネクタ。 |
AWS Private CA SCEP 用コネクタ | AWS::PCAConnectorSCEP::Connector |
| Amazon Q Apps | Amazon Q Apps の Data API アクティビティ。 |
[Amazon Q Apps] | AWS::QApps::QApp |
| Amazon Q Apps | Amazon Q App セッションのデータ API アクティビティ。 |
Amazon Q App セッション | AWS::QApps::QAppSession |
| Amazon Q Business | アプリケーション上の Amazon Q Business API アクティビティ。 |
Amazon Q Business アプリケーション | AWS::QBusiness::Application |
| Amazon Q Business | データソース上の Amazon Q Business API アクティビティ。 |
Amazon Q Business データソース | AWS::QBusiness::DataSource |
| Amazon Q Business | インデックスでの Amazon Q Business API アクティビティ。 |
Amazon Q Business インデックス | AWS::QBusiness::Index |
| Amazon Q Business | ウェブエクスペリエンスでの Amazon Q Business API アクティビティ。 |
Amazon Q Business ウェブエクスペリエンス | AWS::QBusiness::WebExperience |
| Amazon Q Developer | 統合での Amazon Q Developer API アクティビティ。 |
Q Developer の統合 | AWS::QDeveloper::Integration |
| Amazon Q Developer | 運用調査に関する Amazon Q Developer API アクティビティ。 |
AIOps 調査グループ | AWS::AIOps::InvestigationGroup |
| Amazon RDS | DB クラスターでの Amazon RDS API アクティビティ。 |
[RDS Data API – DB クラスター] | AWS::RDS::DBCluster |
| AWS Resource Explorer | マネージドビューでの Resource Explorer API アクティビティ。 |
AWS Resource Explorer マネージドビュー | AWS::ResourceExplorer2::ManagedView |
| AWS Resource Explorer | ビューでの Resource Explorer API アクティビティ。 |
AWS Resource Explorer view (表示) | AWS::ResourceExplorer2::View |
| Amazon S3 | アクセスポイントでの Amazon S3 API アクティビティ。 |
S3 アクセスポイント | AWS::S3::AccessPoint |
| Amazon S3 | ディレクトリバケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例: |
[S3 Express] | AWS::S3Express::Object |
| Amazon S3 |
|
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 Tables | テーブルに対する Amazon S3 API アクティビティ。 |
S3 テーブル | AWS::S3Tables::Table |
| Amazon S3 Tables | テーブルバケットでの Amazon S3 API アクティビティ。 |
S3 テーブルバケット | AWS::S3Tables::TableBucket |
| Amazon S3 on Outposts | Amazon S3 on Outposts オブジェクトレベル API アクティビティ。 |
S3 Outposts | AWS::S3Outposts::Object |
| Amazon SageMaker AI | エンドポイントでの Amazon SageMaker AI InvokeEndpointWithResponseStreamアクティビティ。 |
SageMaker AI エンドポイント | AWS::SageMaker::Endpoint |
| Amazon SageMaker AI | 特徴量ストアでの Amazon SageMaker AI API アクティビティ。 |
SageMaker AI 特徴量ストア | AWS::SageMaker::FeatureGroup |
| Amazon SageMaker AI | 実験トライアルコンポーネントに対する Amazon SageMaker AI API アクティビティ。 |
SageMaker AI メトリクス実験トライアルコンポーネント | AWS::SageMaker::ExperimentTrialComponent |
| AWS Signer | 署名ジョブに対する Signer API アクティビティ。 |
署名者署名ジョブ | AWS::Signer::SigningJob |
| AWS Signer | 署名プロファイルに対する Signer API アクティビティ。 |
署名者署名プロファイル | AWS::Signer::SigningProfile |
| Amazon SimpleDB | ドメインでの Amazon SimpleDB API アクティビティ。 |
SimpleDB ドメイン | AWS::SDB::Domain |
| Amazon SNS | プラットフォームエンドポイントでの Amazon SNS |
SNS プラットフォームエンドポイント | AWS::SNS::PlatformEndpoint |
| Amazon SNS | トピックに関する Amazon SNS |
SNS トピック | AWS::SNS::Topic |
| Amazon SQS | メッセージでの Amazon SQS API アクティビティ。 |
SQS | AWS::SQS::Queue |
| AWS Step Functions | アクティビティに対する Step Functions API アクティビティ。 |
Step Functions | AWS::StepFunctions::Activity |
| AWS Step Functions | ステートマシンでの Step Functions API アクティビティ。 |
Step Functions ステートマシン | AWS::StepFunctions::StateMachine |
| AWS Supply Chain | AWS Supply Chain インスタンスでの API アクティビティ。 |
[Supply Chain] | AWS::SCN::Instance |
| Amazon SWF | [SWF ドメイン] | AWS::SWF::Domain |
|
| AWS Systems Manager | コントロールチャネルでの Systems Manager API アクティビティ。 | Systems Manager | AWS::SSMMessages::ControlChannel |
| AWS Systems Manager | マネージドノードでの Systems Manager API アクティビティ。 | Systems Manager マネージドノード | AWS::SSM::ManagedNode |
| Amazon Timestream | データベース上の Amazon Timestream Query API アクティビティ。 |
Timestream データベース | AWS::Timestream::Database |
| Amazon Timestream | リージョンエンドポイントでの Amazon Timestream API アクティビティ。 | Timestream リージョンエンドポイント | AWS::Timestream::RegionalEndpoint |
| Amazon Timestream | テーブル上の Amazon Timestream Query API アクティビティ。 |
Timestream テーブル | AWS::Timestream::Table |
| Amazon Verified Permissions | ポリシーストア上の Amazon Verified Permissions API アクティビティ。 |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces Thin Client | デバイスでの WorkSpaces シンクライアント API アクティビティ。 | シンクライアントデバイス | AWS::ThinClient::Device |
| Amazon WorkSpaces Thin Client | 環境上の WorkSpaces シンクライアント API アクティビティ。 | シンクライアント環境 | AWS::ThinClient::Environment |
| AWS X-Ray | [X-Ray トレース] | AWS::XRay::Trace |
証跡またはイベントデータストアの作成時、デフォルトでは、データイベントは記録されません。CloudTrail データイベントを記録するには、アクティビティを収集する、サポート対象のリソースまたはリソースタイプを明示的に追加する必要があります。詳細については、 CloudTrail コンソールを使用した証跡の作成およびコンソールを使用してイベントのイベントデータストア CloudTrailを作成するを参照してください。
データイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金
次の例は、Amazon SNS Publish アクションのデータイベントの単一のログレコードを示しています。
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::123456789012:user/Bob",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "ExampleUser"
},
"attributes": {
"creationDate": "2023-08-21T16:44:05Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-08-21T16:48:37Z",
"eventSource": "sns.amazonaws.com",
"eventName": "Publish",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
"requestParameters": {
"topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
"message": "HIDDEN_DUE_TO_SECURITY_REASONS",
"subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
"messageStructure": "json",
"messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"responseElements": {
"messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
},
"requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
"eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
"readOnly": false,
"resources": [{
"accountId": "123456789012",
"type": "AWS::SNS::Topic",
"ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "123456789012",
"eventCategory": "Data",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
}
}次の例は、Amazon Cognito GetCredentialsForIdentity アクションのデータイベントの単一のログレコードを示しています。
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-01-19T16:55:08Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "GetCredentialsForIdentity",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.4",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
"requestParameters": {
"logins": {
"cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
"expiration": "Jan 19, 2023 5:55:08 PM"
},
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
"eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}ネットワークアクティビティイベント
注記
ネットワークアクティビティイベントは CloudTrail のプレビューリリースであり、変更される可能性があります。
CloudTrail ネットワークアクティビティイベントにより、VPC エンドポイント所有者は、プライベート VPC から への VPC エンドポイントを使用して行われた AWS API コールを記録できます AWS のサービス。ネットワークアクティビティイベントでは、VPC 内で実行されたリソースオペレーションについて知ることができます。
次のサービスのネットワークアクティビティイベントを記録できます。
-
AWS CloudTrail
-
Amazon EC2
-
AWS KMS
-
AWS Secrets Manager
証跡またはイベントデータストアの作成時、デフォルトでは、アクティビティイベントはログに記録されません。CloudTrail ネットワークアクティビティイベントを記録するには、アクティビティを収集するイベントソースを明示的に設定する必要があります。詳細については、「ネットワークアクティビティイベントのログ記録」を参照してください。
ネットワークアクティビティイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金
次の例は、VPC エンドポイントをトラバースした成功 AWS KMS ListKeysしたイベントを示しています。vpcEndpointId フィールドには VPC エンドポイントの ID が表示されます。vpcEndpointAccountId フィールドには、VPC エンドポイント所有者のアカウント ID が表示されます。この例では、リクエストは VPC エンドポイント所有者が行いました。
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE:role-name",
"arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name",
"accountId": "123456789012",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-06-04T23:10:46Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-06-04T23:12:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListKeys",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731",
"eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9",
"eventType": "AwsVpceEvent",
"recipientAccountId": "123456789012",
"sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f",
"vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
"vpcEndpointAccountId": "123456789012",
"eventCategory": "NetworkActivity"
}次の例は、VPC エンドポイントポリシー違反で失敗した AWS KMS ListKeysイベントを示しています。VPC ポリシー違反が発生したため、errorCode フィールドと errorMessage フィールドの両方があります。recipientAccountId および vpcEndpointAccountId フィールドのアカウント ID は同じで、イベントが VPC エンドポイント所有者に送信されたことを示しています。userIdentity 要素の accountId は vpcEndpointAccountId ではなく、これはリクエストを行うユーザーが VPC エンドポイント所有者ではないことを示しています。
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "777788889999"
},
"eventTime": "2024-07-15T23:57:12Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListKeys",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"errorCode": "VpceAccessDenied",
"errorMessage": "The request was denied due to a VPC endpoint policy",
"requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374",
"eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0",
"eventType": "AwsVpceEvent",
"recipientAccountId": "123456789012",
"sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4",
"vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
"vpcEndpointAccountId": "123456789012",
"eventCategory": "NetworkActivity"
}Insights イベント
CloudTrail Insights イベントは、CloudTrail の管理アクティビティを分析し、 AWS アカウントの異常な API コール率やエラー率のアクティビティをキャプチャします。Insights イベントは、関連する API、エラーコード、インシデント時間、統計情報などの関連情報を提供し、異常なアクティビティについて理解して対処するのに役立ちます。CloudTrail の証跡あるいはイベントデータストアでキャプチャされた他のタイプのイベントとは異なり、Insights イベントは、CloudTrail がアカウントの API 使用量またはエラー率のログ記録において通常の使用パターンとは大きく異なる変更を検出した場合にのみログ記録されます。詳細については、「CloudTrail Insights の使用」を参照してください。
Insights イベントを生成する可能性のあるアクティビティの例を次に示します。
-
通常、アカウントは Amazon S3
deleteBucketAPI コールを 1 分あたり 20 個までログに記録しますが、アカウントは 1 分あたり平均 100 個のdeleteBucketAPI コールを開始しています。異常なアクティビティの開始時に Insights イベントが記録され、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。 -
通常、アカウントは Amazon EC2
AuthorizeSecurityGroupIngressAPI のコールを 1 分あたり 20 個を記録しますが、アカウントはAuthorizeSecurityGroupIngressへのコールをまったく記録し始めていません。異常なアクティビティの開始時に Insights イベントが記録され、10 分後、以上にアクティビティが終了すると、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。 -
通常は、アカウントで AWS Identity and Access Management API
DeleteInstanceProfileに関するAccessDeniedExceptionエラーのログ記録が 7 日間に 1 つもありません。アカウントがDeleteInstanceProfileAPI コールで 1 分あたり平均 12AccessDeniedExceptionエラーのログを記録し始めます。異常なエラーレートのアクティビティが発生した時に Insights イベントが記録されますが、この異常アクティビティの終了を示すために別の Insights イベントも記録されます。
これらの例は、説明のみを目的としています。結果はユースケースによって異なる場合があります。
CloudTrail Insights イベントをログ記録するには、新規または既存の証跡もしくはイベントデータストアにおいて、Insights イベントを明示的に有効化する必要があります。証跡の作成方法の詳細については、「 CloudTrail コンソールを使用した証跡の作成」を参照してください。イベントデータストアの作成方法の詳細については、「コンソールで Insights イベントのイベントデータストアを作成する」を参照してください。
Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail 料金
CloudTrail インサイトでは異常なアクティビティを表示するために、開始イベントと終了イベントの 2 つのイベントが記録されます。次の例は、アプリケーション Auto Scaling API CompleteLifecycleAction が異常な回数呼び出されたときに発生した開始インサイトイベントの 1 つのログレコードを示しています。インサイトイベントの場合、eventCategory の値は Insight です。insightDetails ブロックは、イベントの状態、ソース、名前、インサイトのタイプ、および統計情報および属性を含むコンテキストを識別します。insightDetails ブロックの詳細については、「CloudTrail Insights insightDetails 要素」を参照してください。
{
"eventVersion": "1.08",
"eventTime": "2023-07-10T01:42:00Z",
"awsRegion": "us-east-1",
"eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee",
"insightDetails": {
"state": "Start",
"eventSource": "autoscaling.amazonaws.com",
"eventName": "CompleteLifecycleAction",
"insightType": "ApiCallRateInsight",
"insightContext": {
"statistics": {
"baseline": {
"average": 9.82222E-5
},
"insight": {
"average": 5.0
},
"insightDuration": 1,
"baselineDuration": 10181
},
"attributions": [{
"attribute": "userIdentityArn",
"insight": [{
"value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
"average": 5.0
}, {
"value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2",
"average": 5.0
}, {
"value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3",
"average": 5.0
}],
"baseline": [{
"value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
"average": 9.82222E-5
}]
}, {
"attribute": "userAgent",
"insight": [{
"value": "codedeploy.amazonaws.com",
"average": 5.0
}],
"baseline": [{
"value": "codedeploy.amazonaws.com",
"average": 9.82222E-5
}]
}, {
"attribute": "errorCode",
"insight": [{
"value": "null",
"average": 5.0
}],
"baseline": [{
"value": "null",
"average": 9.82222E-5
}]
}]
}
},
"eventCategory": "Insight"
}