CloudTrail ログファイルの検索 - AWS CloudTrail

CloudTrail ログファイルの検索

CloudTrail は、ログファイルを gzip アーカイブで S3 バケットに発行します。S3 バケットでは、ログファイルに次の要素を含む形式の名前が付けられます。

  • トレイルを作成したときに指定したバケット名 (CloudTrail コンソールのトレイルページにあります)

  • トレイルを作成したときに指定した (オプションの) プレフィックス

  • 文字列「AWSLogs」

  • アカウント番号

  • 文字列「CloudTrail」

  • リージョン識別子 (us-west-1 など)

  • ログファイルが発行された年 (YYYY 形式)

  • ログファイルが発行された月 (MM 形式)

  • ログファイルが発行された日 (DD 形式)

  • 同じ期間をカバーする他のファイルから当該ファイルを区別するための英数字の文字列

次の例は、完全なログファイルオブジェクト名を示しています。

bucket_name/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz
注記

組織の証跡の場合、ログファイルオブジェクト名には、次のようにパスに組織ユニット ID が含まれます。

bucket_name/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz

ログファイルを取得するには、Amazon S3 コンソール、Amazon S3 コマンドラインインターフェイス (CLI)、または API を使用します。

Amazon S3 コンソールでログファイルを検索するには

  1. Amazon S3 コンソールを開きます。

  2. 指定したバケットを選択します。

  3. 必要なログファイルが見つかるまでオブジェクト階層内を移動します。

    ログファイルの拡張子はすべて .gz です。

次の例のように、オブジェクト階層を移動しますが、バケット名、アカウント ID、リージョン、および日付は異なります。

All Buckets Bucket_Name AWSLogs 123456789012 CloudTrail us-west-1 2014 06 20

先のオブジェクト階層のログファイルは、次のようになります。

123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
注記

めったに起こることではありませんが、1 つ以上の重複したイベントを含むログファイルを受け取ることがあります。重複イベントには同じ [eventID] が付いています。[eventID] フィールドに関する詳細については、「CloudTrail レコードの内容」を参照してください。