翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudTrail イベントについて
のイベント CloudTrail は、 AWS アカウントのアクティビティの記録です。このアクティビティは、IAMアイデンティティによって実行されるアクション、または によってモニタリング可能なサービスにすることができます CloudTrail。 CloudTrail イベントは AWS Management Console、、、 AWS SDKsコマンドラインツールなどを通じて行われたアカウントアクティビティAPIと非APIアカウントアクティビティの両方の履歴を提供します AWS のサービス。
CloudTrail ログファイルはパブリックAPI呼び出しの順序付けられたスタックトレースではないため、イベントは特定の順序では表示されません。
CloudTrail イベントには 4 つのタイプがあります。
-
注記
ネットワークアクティビティイベントは のプレビューリリースであり CloudTrail 、変更される可能性があります。
デフォルトでは、証跡とイベントデータストアによって管理イベントがログに記録されますが、データイベント、ネットワークアクティビティイベント、Insights イベントは記録されません。
すべてのイベントタイプは CloudTrail JSONログ形式を使用します。ログには、リクエストを行った人、使用されたサービス、実行されたアクション、アクションのパラメータなど、アカウントのリソースに対するリクエストに関する情報が含まれています。イベントデータが Records の配列で囲まれています。
CloudTrail イベントレコードフィールドの詳細については、「」を参照してくださいCloudTrail レコードの内容。
管理イベント
管理イベントは、 AWS アカウントのリソースで実行される管理オペレーションに関する情報を提供します。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。
管理イベントには、次のようなものがあります。
-
セキュリティの設定 (オペレーションなど AWS Identity and Access Management
AttachRolePolicyAPI)。 -
デバイスの登録 (Amazon EC2
CreateDefaultVpcAPIオペレーションなど)。 -
データをルーティングするためのルールの設定 (Amazon EC2
CreateSubnetAPIオペレーションなど)。 -
ログ記録の設定 ( APIオペレーションなど AWS CloudTrail
CreateTrail)。
管理イベントには、アカウントで発生する API以外のイベントを含めることもできます。たとえば、ユーザーがアカウントにサインインすると、 はConsoleLoginイベントを CloudTrail ログに記録します。詳細については、「CloudTrail によってキャプチャされる API 以外のイベント」を参照してください。
デフォルトでは、 CloudTrail 証跡と CloudTrail Lake イベントデータストアは管理イベントをログに記録します。管理イベントのログ記録に関する詳細については、「管理イベントのログ記録」を参照してください。
次の例は、管理イベントの単一のログレコードを示しています。このイベントでは、 という名前Mary_Majorの IAMユーザーが aws cloudtrail start-logging コマンドを実行して アクションを CloudTrail StartLogging呼び出し、 という名前の証跡でログ記録プロセスを開始しますmyTrail。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLE6E4XEGITWATV6R", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "attributes": { "creationDate": "2023-07-19T21:11:57Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-19T21:33:41Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging", "requestParameters": { "name": "myTrail" }, "responseElements": null, "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932", "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
次の例では、 という名前Paulo_Santosの IAM ユーザーユーザーが aws cloudtrail start-event-data-store-ingestion コマンドを実行して StartEventDataStoreIngestionアクションを呼び出し、イベントデータストアでの取り込みを開始します。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLEPHCNW5EQV7NA54", "arn": "arn:aws:iam::123456789012:user/Paulo_Santos", "accountId": "123456789012", "accessKeyId": "(AKIAIOSFODNN7EXAMPLE", "userName": "Paulo_Santos", "sessionContext": { "attributes": { "creationDate": "2023-07-21T21:55:30Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-21T21:57:28Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartEventDataStoreIngestion", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion", "requestParameters": { "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41" }, "responseElements": null, "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f", "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
データイベント
データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。
データイベントには、次のようなものがあります。
-
S3 バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルのAPIアクティビティ (、
DeleteObject、GetObjectPutObjectAPIオペレーションなど)。 S3 -
AWS Lambda 関数実行アクティビティ (
InvokeAPI)。 -
CloudTrail
PutAuditEvents外部からイベントをログに記録するために使用される CloudTrail Lake チャネルでの アクティビティ AWS。 -
トピックに対する Amazon SNS
PublishおよびPublishBatchAPIオペレーション。
次の表は、証跡とイベントデータストアで使用できるリソースタイプを示しています。リソースタイプ (コンソール) 列には、コンソールで適切な選択が表示されます。resources.type 値の列には、 AWS CLI または を使用して、証跡またはイベントデータストアにそのタイプのデータイベントを含めるように指定するresources.type値が表示されます CloudTrail APIs。
証跡の場合、ベーシックまたは高度なイベントセレクタを使用して、汎用バケット、Lambda 関数、DynamoDB テーブル (表の最初の 3 行に表示) の Amazon S3 オブジェクトのデータイベントのログを記録することができます。残りの行に表示されるリソースタイプをログに記録するには、高度なイベントセレクタのみを使用できます。
イベントデータストアの場合、データイベントを含めるには、詳細イベントセレクタのみを使用できます。
| AWS のサービス | 説明 | リソースタイプ (コンソール) | resources.type 値 |
|---|---|---|---|
| Amazon DynamoDB | テーブルに対する Amazon DynamoDB 項目レベルのAPIアクティビティ (、 注記ストリームが有効になっているテーブルの場合、データイベントの |
DynamoDB |
|
| AWS Lambda | AWS Lambda 関数実行アクティビティ ( |
Lambda | AWS::Lambda::Function |
| Amazon S3 | 汎用バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルのAPIアクティビティ (、 |
S3 | AWS::S3::Object |
| AWS AppConfig |
|
AWS AppConfig | AWS::AppConfig::Configuration |
| AWS AppSync | AWS AppSync API アクティビティ on AppSync GraphQL APIs。 |
AppSync GraphQL | AWS::AppSync::GraphQL |
| AWS B2B データ交換 |
|
B2B データ交換 | AWS::B2BI::Transformer |
| Amazon Bedrock | エージェントエイリアスの Amazon Bedrock APIアクティビティ。 | Bedrock エージェントエイリアス | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | 非同期呼び出しに対する Amazon Bedrock APIアクティビティ。 | Bedrock 非同期呼び出し | AWS::Bedrock::AsyncInvoke |
| Amazon Bedrock | フローエイリアスの Amazon Bedrock APIアクティビティ。 | [Bedrock フローエイリアス] | AWS::Bedrock::FlowAlias |
| Amazon Bedrock | ガードレールでの Amazon Bedrock APIアクティビティ。 | [Bedrock ガードレール] | AWS::Bedrock::Guardrail |
| Amazon Bedrock | インラインエージェントの Amazon Bedrock APIアクティビティ。 | Bedrock Invoke Inline-Agent | AWS::Bedrock::InlineAgent |
| Amazon Bedrock | ナレッジベースの Amazon Bedrock APIアクティビティ。 | Bedrock ナレッジベース | AWS::Bedrock::KnowledgeBase |
| Amazon Bedrock | モデルの Amazon Bedrock APIアクティビティ。 | [Bedrock モデル] | AWS::Bedrock::Model |
| Amazon CloudFront | CloudFront API での アクティビティ KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| AWS Cloud Map | 名前空間での AWS Cloud Map APIアクティビティ。 | AWS Cloud Map 名前空間 | |
| AWS Cloud Map | サービスでの AWS Cloud Map APIアクティビティ。 | AWS Cloud Map service | |
| AWS CloudTrail | CloudTrail |
CloudTrail チャネル | AWS::CloudTrail::Channel |
| Amazon CloudWatch | メトリクスに対する Amazon CloudWatch API アクティビティ。 |
CloudWatch メトリクス | AWS::CloudWatch::Metric |
| Amazon CloudWatch RUM | アプリモニターでの Amazon CloudWatch RUM APIアクティビティ。 |
RUM アプリモニター | AWS::RUM::AppMonitor |
| Amazon CodeGuru Profiler | CodeGuru プロファイリンググループのプロファイラーAPIアクティビティ。 | CodeGuru プロファイラープロファイリンググループ | AWS::CodeGuruProfiler::ProfilingGroup |
| Amazon CodeWhisperer | カスタマイズに対する Amazon CodeWhisperer API アクティビティ。 | CodeWhisperer カスタマイズ | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | プロファイルでの Amazon CodeWhisperer API アクティビティ。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | Amazon Cognito ID プールでの Amazon Cognito APIアクティビティ。 |
Cognito アイデンティティプール | AWS::Cognito::IdentityPool |
| AWS Data Exchange | AWS Data Exchange API アセットに対する アクティビティ。 |
[Data Exchange アセット] |
|
| AWS Deadline Cloud | Deadline Cloud API フリートでの アクティビティ。 |
Deadline Cloud フリート |
|
| AWS Deadline Cloud | Deadline Cloud API ジョブの アクティビティ。 |
Deadline Cloud ジョブ |
|
| AWS Deadline Cloud | Deadline Cloud API キューでの アクティビティ。 |
Deadline Cloud キュー |
|
| AWS Deadline Cloud | Deadline Cloud API ワーカーに対する アクティビティ。 |
Deadline Cloud ワーカー |
|
| Amazon DynamoDB | ストリームでの Amazon DynamoDB APIアクティビティ。 |
DynamoDB Streams | AWS::DynamoDB::Stream |
| AWS エンドユーザーメッセージング SMS | 発信元 ID に対するAWS エンドユーザーメッセージングSMSAPIアクティビティ。 | SMS 音声発信 ID | AWS::SMSVoice::OriginationIdentity |
| AWS エンドユーザーメッセージング SMS | メッセージに対するAWS エンドユーザーメッセージングSMSAPIアクティビティ。 | SMS 音声メッセージ | AWS::SMSVoice::Message |
| AWS エンドユーザーメッセージングソーシャル | 電話番号 でのAWS エンドユーザーメッセージングソーシャルAPIアクティビティIDs。 | [ソーシャルメッセージ電話番号 ID] | AWS::SocialMessaging::PhoneNumberId |
| AWS エンドユーザーメッセージングソーシャル | AWS Waba でのエンドユーザーメッセージングソーシャルAPIアクティビティIDs。 | ソーシャルメッセージング Waba ID | AWS::SocialMessaging::WabaId |
| Amazon Elastic Block Store | Amazon Elastic Block Store (EBS) はAPIs、、 |
Amazon EBS direct APIs | AWS::EC2::Snapshot |
| Amazon EMR | ログ先行書き込みワークスペースでの Amazon EMRAPIアクティビティ。 | EMR ログ先行書き込みワークスペース | AWS::EMRWAL::Workspace |
| Amazon FinSpace | Amazon FinSpace API 環境での アクティビティ。 |
FinSpace | AWS::FinSpace::Environment |
| AWS Glue | AWS Glue API Lake Formation によって作成されたテーブルに対する アクティビティ。 |
Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | ディテクターの Amazon GuardDuty API アクティビティ。 |
GuardDuty ディテクター | AWS::GuardDuty::Detector |
| AWS HealthImaging | AWS HealthImaging API データストアでの アクティビティ。 |
MedicalImaging データストア | AWS::MedicalImaging::Datastore |
| AWS IoT | IoT 証明書 | AWS::IoT::Certificate |
|
| AWS IoT | モノに対する AWS IoT APIアクティビティ。 |
[IoT モノ] | AWS::IoT::Thing |
| AWS IoT Greengrass Version 2 | コンポーネントバージョンの Greengrass コアデバイスからの Greengrass APIアクティビティ。 注記Greengrass はアクセス拒否イベントのログを記録しません。 |
[IoT Greengrass コンポーネントバージョン] | AWS::GreengrassV2::ComponentVersion |
| AWS IoT Greengrass Version 2 | デプロイ上の Greengrass コアデバイスからの Greengrass APIアクティビティ。 注記Greengrass はアクセス拒否イベントのログを記録しません。 |
[IoT Greengrass デプロイ] | AWS::GreengrassV2::Deployment |
| AWS IoT SiteWise | IoT SiteWise アセット | AWS::IoTSiteWise::Asset |
|
| AWS IoT SiteWise | IoT SiteWise 時系列 | AWS::IoTSiteWise::TimeSeries |
|
| AWS IoT SiteWise アシスタント | 会話に関する Sitewise Assistant のAPIアクティビティ。 |
Sitewise Assistant の会話 | AWS::SitewiseAssistant::Conversation |
| AWS IoT TwinMaker | エンティティでの IoT TwinMaker API アクティビティ。 |
IoT TwinMaker エンティティ | AWS::IoTTwinMaker::Entity |
| AWS IoT TwinMaker | ワークスペースでの IoT TwinMaker API アクティビティ。 |
IoT TwinMaker ワークスペース | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra インテリジェントランキング | 再スコア実行プランに対する Amazon Kendra Intelligent Ranking APIアクティビティ。 |
Kendra ランキング | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces (Apache Cassandra 向け) | テーブルに対する Amazon Keyspaces APIアクティビティ。 | [Cassandra テーブル] | AWS::Cassandra::Table |
| Amazon Kinesis Data Streams | ストリームでの Kinesis Data Streams APIアクティビティ。 | [Kinesis ストリーム] | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | ストリームコンシューマーでの Kinesis Data Streams APIアクティビティ。 | [Kinesis ストリームコンシューマー] | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | Kinesis Video Streams は、 GetMediaや への呼び出しなど、ビデオストリームでのAPIアクティビティをストリーミングしますPutMedia。 |
Kinesis ビデオストリーム | AWS::KinesisVideo::Stream |
| Amazon Location Maps | Amazon Location Maps APIアクティビティ。 | 地理マップ | AWS::GeoMaps::Provider |
| Amazon Location の場所 | Amazon Location Places APIアクティビティ。 | 地理的場所 | AWS::GeoPlaces::Provider |
| Amazon Location Routes | Amazon Location Routes APIアクティビティ。 | 地域ルート | AWS::GeoRoutes::Provider |
| Amazon Machine Learning | ML モデルでのMachine LearningAPIアクティビティ。 | Maching Learning MlModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | ネットワーク上の Amazon Managed Blockchain APIアクティビティ。 |
Managed Blockchain ネットワーク | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | Amazon Managed Blockchain JSON-RPC |
Managed Blockchain | AWS::ManagedBlockchain::Node |
| Amazon Managed Workflows for Apache Airflow | 環境での Amazon MWAAAPIアクティビティ。 |
マネージド Apache Airflow | AWS::MWAA::Environment |
| Amazon Neptune Graph | Neptune グラフでのクエリ、アルゴリズム、ベクトル検索などのデータAPIアクティビティ。 |
Neptune Graph | AWS::NeptuneGraph::Graph |
| Amazon One Enterprise | での Amazon One Enterprise APIアクティビティUKey。 |
Amazon One UKey | AWS::One::UKey |
| Amazon One Enterprise | ユーザーに対する Amazon One Enterprise APIアクティビティ。 |
[Amazon One User] | AWS::One::User |
| AWS Payment Cryptography | AWS Payment Cryptography API エイリアスの アクティビティ。 | [Payment Cryptography Alias] | AWS::PaymentCryptography::Alias |
| AWS Payment Cryptography | AWS Payment Cryptography API キーに対する アクティビティ。 | [Payment Cryptography Key] | AWS::PaymentCryptography::Key |
| AWS Private CA | AWS Private CA Connector for Active Directory APIアクティビティ。 |
AWS Private CA Connector for Active Directory | AWS::PCAConnectorAD::Connector |
| AWS Private CA | AWS Private CA SCEPAPIアクティビティ用のコネクタ。 |
AWS Private CA 用のコネクタ SCEP | AWS::PCAConnectorSCEP::Connector |
| [Amazon Q Apps] | Amazon Q Apps のデータAPIアクティビティ。 |
[Amazon Q Apps] | AWS::QApps::QApp |
| [Amazon Q Apps] | Amazon Q App セッションのデータAPIアクティビティ。 |
Amazon Q アプリセッション | AWS::QApps::QAppSession |
| Amazon Q Business | アプリケーションの Amazon Q Business APIアクティビティ。 |
Amazon Q Business アプリケーション | AWS::QBusiness::Application |
| Amazon Q Business | データソースでの Amazon Q Business APIアクティビティ。 |
Amazon Q Business データソース | AWS::QBusiness::DataSource |
| Amazon Q Business | インデックスに対する Amazon Q Business APIアクティビティ。 |
Amazon Q Business インデックス | AWS::QBusiness::Index |
| Amazon Q Business | ウェブエクスペリエンスでの Amazon Q Business APIアクティビティ。 |
Amazon Q Business ウェブエクスペリエンス | AWS::QBusiness::WebExperience |
| Amazon Q Developer | 統合での Amazon Q Developer APIアクティビティ。 |
Q 開発者統合 | AWS::QDeveloper::Integration |
| Amazon Q Developer | 運用調査に関する Amazon Q Developer のAPIアクティビティ。 |
AIOps 調査グループ | AWS::AIOps::InvestigationGroup |
| Amazon RDS | DB クラスターでの Amazon RDSAPIアクティビティ。 |
RDS データ API - DB クラスター | AWS::RDS::DBCluster |
| AWS Resource Explorer | マネージドビューでの Resource Explorer APIアクティビティ。 |
AWS Resource Explorer マネージドビュー | AWS::ResourceExplorer2::ManagedView |
| AWS Resource Explorer | ビューでの Resource Explorer APIアクティビティ。 |
AWS Resource Explorer view (表示) | AWS::ResourceExplorer2::View |
| Amazon S3 | アクセスポイントでの Amazon S3 APIアクティビティ。 |
S3 アクセスポイント | AWS::S3::AccessPoint |
| Amazon S3 | ディレクトリバケット内のオブジェクトに対する Amazon S3 オブジェクトレベルのAPIアクティビティ (、 |
[S3 Express] | AWS::S3Express::Object |
| Amazon S3 | Amazon S3 Object Lambda アクセスポイントのAPIアクティビティ。 |
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 テーブル | テーブルに対する Amazon S3 APIアクティビティ。 |
S3 テーブル | AWS::S3Tables::Table |
| Amazon S3 テーブル | テーブルバケットでの Amazon S3 APIアクティビティ。 |
S3 テーブルバケット | AWS::S3Tables::TableBucket |
| Amazon S3 on Outposts | S3 Outposts | AWS::S3Outposts::Object |
|
| Amazon SageMaker AI | エンドポイントでの Amazon SageMaker AI InvokeEndpointWithResponseStreamアクティビティ。 |
SageMaker AI エンドポイント | AWS::SageMaker::Endpoint |
| Amazon SageMaker AI | 特徴量ストアでの Amazon SageMaker AI APIアクティビティ。 |
SageMaker AI 特徴量ストア | AWS::SageMaker::FeatureGroup |
| Amazon SageMaker AI | 実験トライアルコンポーネントに対する Amazon SageMaker AI APIアクティビティ。 |
SageMaker AI メトリクス実験トライアルコンポーネント | AWS::SageMaker::ExperimentTrialComponent |
| Amazon SimpleDB | ドメインでの Amazon SimpleDB APIアクティビティ。 |
SimpleDB ドメイン | AWS::SDB::Domain |
| Amazon SNS | プラットフォームエンドポイントでの Amazon SNS |
SNS プラットフォームエンドポイント | AWS::SNS::PlatformEndpoint |
| Amazon SNS | トピックに対する Amazon SNS |
SNS トピック | AWS::SNS::Topic |
| Amazon SQS | メッセージに対する Amazon SQSAPIアクティビティ。 |
SQS | AWS::SQS::Queue |
| AWS Step Functions | ステートマシンでの Step Functions APIアクティビティ。 |
Step Functions ステートマシン | AWS::StepFunctions::StateMachine |
| AWS Supply Chain | AWS Supply Chain API インスタンスでの アクティビティ。 |
[Supply Chain] | AWS::SCN::Instance |
| Amazon SWF | SWF ドメイン | AWS::SWF::Domain |
|
| AWS Systems Manager | コントロールチャネルでの Systems Manager APIアクティビティ。 | Systems Manager | AWS::SSMMessages::ControlChannel |
| AWS Systems Manager | マネージドノードでの Systems Manager APIアクティビティ。 | Systems Manager マネージドノード | AWS::SSM::ManagedNode |
| Amazon Timestream | データベースに対する Amazon Timestream QueryAPIアクティビティ。 |
Timestream データベース | AWS::Timestream::Database |
| Amazon Timestream | テーブルに対する Amazon Timestream QueryAPIアクティビティ。 |
Timestream テーブル | AWS::Timestream::Table |
| Amazon Verified Permissions | ポリシーストアでの Amazon Verified Permissions APIアクティビティ。 |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces シンクライアント | WorkSpaces デバイス上のシンクライアントAPIアクティビティ。 | シンクライアントデバイス | AWS::ThinClient::Device |
| Amazon WorkSpaces シンクライアント | WorkSpaces 環境でのシンクライアントAPIアクティビティ。 | シンクライアント環境 | AWS::ThinClient::Environment |
| AWS X-Ray | [X-Ray トレース] | AWS::XRay::Trace |
証跡またはイベントデータストアの作成時、デフォルトでは、データイベントは記録されません。 CloudTrail データイベントを記録するには、アクティビティを収集するサポートされているリソースまたはリソースタイプを明示的に追加する必要があります。詳細については、 CloudTrail コンソールを使用した証跡の作成およびコンソールを使用してイベントのイベントデータストア CloudTrailを作成するを参照してください。
データイベントのログ記録には追加料金が適用されます。 CloudTrail 料金については、AWS CloudTrail 「 の
次の例は、Amazon SNSPublishアクションのデータイベントの単一のログレコードを示しています。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Bob", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "ExampleUser" }, "attributes": { "creationDate": "2023-08-21T16:44:05Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-08-21T16:48:37Z", "eventSource": "sns.amazonaws.com", "eventName": "Publish", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16", "requestParameters": { "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic", "message": "HIDDEN_DUE_TO_SECURITY_REASONS", "subject": "HIDDEN_DUE_TO_SECURITY_REASONS", "messageStructure": "json", "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "responseElements": { "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840" }, "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d", "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0", "readOnly": false, "resources": [{ "accountId": "123456789012", "type": "AWS::SNS::Topic", "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "123456789012", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com" } }
次の例は、Amazon Cognito GetCredentialsForIdentity アクションのデータイベントの単一のログレコードを示しています。
{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown" }, "eventTime": "2023-01-19T16:55:08Z", "eventSource": "cognito-identity.amazonaws.com", "eventName": "GetCredentialsForIdentity", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.4", "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity", "requestParameters": { "logins": { "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE", "expiration": "Jan 19, 2023 5:55:08 PM" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645", "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d", "readOnly": false, "resources": [{ "accountId": "111122223333", "type": "AWS::Cognito::IdentityPool", "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data" }
ネットワークアクティビティイベント
注記
ネットワークアクティビティイベントは のプレビューリリースであり CloudTrail 、変更される可能性があります。
CloudTrail ネットワークアクティビティイベントを使用すると、VPCエンドポイント所有者はVPC、エンドポイントを使用して行われた呼び出しをプライベートから VPCに記録 AWS APIできます AWS のサービス。ネットワークアクティビティイベントは、 内で実行されるリソースオペレーションを可視化しますVPC。
次のサービスのネットワークアクティビティイベントを記録できます。
-
AWS CloudTrail
-
Amazon EC2
-
AWS KMS
-
AWS Secrets Manager
証跡またはイベントデータストアの作成時、デフォルトでは、アクティビティイベントはログに記録されません。ネットワークアクティビティイベントを記録する CloudTrail には、アクティビティを収集するイベントソースを明示的に設定する必要があります。詳細については、「ネットワークアクティビティイベントのログ記録」を参照してください。
ネットワークアクティビティイベントのログ記録には追加料金が適用されます。 CloudTrail 料金については、「 AWS CloudTrail の料金
次の例は、VPCエンドポイントを経由した成功 AWS KMS ListKeysしたイベントを示しています。vpcEndpointId フィールドには、VPCエンドポイントの ID が表示されます。vpcEndpointAccountId フィールドには、VPCエンドポイント所有者のアカウント ID が表示されます。この例では、リクエストはVPCエンドポイント所有者によって行われました。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "ASIAIOSFODNN7EXAMPLE:role-name", "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "ASIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "Admin" }, "attributes": { "creationDate": "2024-06-04T23:10:46Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-06-04T23:12:50Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731", "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }
次の例は、VPCエンドポイントポリシー違反で失敗した AWS KMS ListKeysイベントを示しています。VPC ポリシー違反が発生したため、 フィールドerrorCodeと errorMessageフィールドの両方があります。フィールドrecipientAccountIdと vpcEndpointAccountIdフィールドのアカウント ID は同じで、イベントがVPCエンドポイント所有者に送信されたことを示します。userIdentity 要素accountIdの は ではありません。これはvpcEndpointAccountId、リクエストを行うユーザーがVPCエンドポイント所有者ではないことを示します。
{ "eventVersion": "1.09", "userIdentity": { "type": "AWSAccount", "principalId": "AKIAIOSFODNN7EXAMPLE", "accountId": "777788889999" }, "eventTime": "2024-07-15T23:57:12Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "errorCode": "VpceAccessDenied", "errorMessage": "The request was denied due to a VPC endpoint policy", "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374", "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }
Insights イベント
CloudTrail Insights イベントは、 CloudTrail 管理アクティビティを分析することで、アカウント内の異常なAPI通話率またはエラー率のアクティビティをキャプチャします AWS 。Insights イベントは、関連する 、エラーコードAPI、インシデント時間、統計などの関連情報を提供し、異常なアクティビティの理解と対処に役立ちます。 CloudTrail 証跡またはイベントデータストアでキャプチャされた他のタイプのイベントとは異なり、Insights イベントは、 がアカウントの一般的なAPI使用パターンと大きく異なるアカウントの使用またはエラー率ログ記録の変更 CloudTrail を検出した場合にのみログに記録されます。
Insights イベントを生成する可能性のあるアクティビティの例を次に示します。
-
通常、アカウントは 1 分あたり 20 件以下の Amazon S3
deleteBucketAPI呼び出しを記録しますが、アカウントは 1 分あたり平均 100 件のdeleteBucketAPI呼び出しを記録し始めます。異常なアクティビティの開始時に Insights イベントが記録され、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。 -
通常、アカウントは Amazon への 1 分あたり 20 EC2
AuthorizeSecurityGroupIngress回の呼び出しをログに記録しますがAPI、アカウントは への呼び出しをログに記録し始めますAuthorizeSecurityGroupIngress。異常なアクティビティの開始時に Insights イベントが記録され、10 分後、以上にアクティビティが終了すると、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。 -
通常、アカウントは AWS Identity and Access Management API、 で 7 日間に 1 つ未満の
AccessDeniedExceptionエラーを記録しますDeleteInstanceProfile。アカウントは、DeleteInstanceProfileAPI通話に対して 1 分あたり平均 12AccessDeniedExceptionエラーのログ記録を開始します。異常なエラーレートのアクティビティが発生した時に Insights イベントが記録されますが、この異常アクティビティの終了を示すために別の Insights イベントも記録されます。
これらの例は、説明のみを目的としています。結果はユースケースによって異なる場合があります。
CloudTrail Insights イベントをログに記録するには、新規または既存の証跡またはイベントデータストアで Insights イベントを明示的に有効にする必要があります。証跡の作成方法の詳細については、「 CloudTrail コンソールを使用した証跡の作成」を参照してください。イベントデータストアの作成方法の詳細については、「コンソールで Insights イベントのイベントデータストアを作成する」を参照してください。
Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail 料金
CloudTrail Insights で異常なアクティビティを表示するためにログに記録されるイベントは、開始イベントと終了イベントの 2 つです。次の例は、Application Auto Scaling が異常な回数呼び出APICompleteLifecycleActionされたときに発生した開始 Insights イベントの 1 つのログレコードを示しています。インサイトイベントの場合、eventCategory の値は Insight です。insightDetails ブロックは、イベントの状態、ソース、名前、インサイトのタイプ、および統計情報および属性を含むコンテキストを識別します。insightDetails ブロックの詳細については、「CloudTrail Insights insightDetails 要素」を参照してください。
{ "eventVersion": "1.08", "eventTime": "2023-07-10T01:42:00Z", "awsRegion": "us-east-1", "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 9.82222E-5 }, "insight": { "average": 5.0 }, "insightDuration": 1, "baselineDuration": 10181 }, "attributions": [{ "attribute": "userIdentityArn", "insight": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3", "average": 5.0 }], "baseline": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 9.82222E-5 }] }, { "attribute": "userAgent", "insight": [{ "value": "codedeploy.amazonaws.com", "average": 5.0 }], "baseline": [{ "value": "codedeploy.amazonaws.com", "average": 9.82222E-5 }] }, { "attribute": "errorCode", "insight": [{ "value": "null", "average": 5.0 }], "baseline": [{ "value": "null", "average": 9.82222E-5 }] }] } }, "eventCategory": "Insight" }
