CloudTrail ログファイルの取得と表示 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail ログファイルの取得と表示

証跡を作成して必要なログファイルをキャプチャするように設定した後は、ログファイルを検索し、含まれる情報を解釈できるようにする必要があります。

CloudTrail は、証跡の作成時に指定した Amazon S3 バケットにログファイルを配信します。 CloudTrail は通常、 API 呼び出しから平均 5 分以内にログを配信します。この時間は保証されません。詳細については、「AWS CloudTrail サービスレベルアグリーメント」をご覧ください。インサイトイベントは、通常、異常なアクティビティから 30 分以内にバケットに配信されます。インサイトイベントを初めて有効にした後、異常なアクティビティが検出された場合に、最初のインサイトイベントが表示されるまで最大 36 時間かかります。

注記

証跡を誤って設定した場合 (S3 バケットに到達できないなど)、 CloudTrail はログファイルを S3 バケットに 30 日間再配信しようとします。これらの attempted-to-deliver イベントには標準 CloudTrail 料金が適用されます。証跡の不適切な設定による課金を避けるには、その証跡を削除する必要があります。

CloudTrail ログファイルの検索

CloudTrail は、ログファイルを gzip アーカイブの S3 バケットに発行します。S3 バケットでは、ログファイルに次の要素を含む形式の名前が付けられます。

  • 証跡の作成時に指定したバケット名 ( CloudTrail コンソールの証跡ページにあります)

  • トレイルを作成したときに指定した (オプションの) プレフィックス

  • 文字列AWSLogs「」

  • アカウント番号

  • 文字列CloudTrail「」

  • リージョン識別子 (us-west-1 など)

  • ログファイルが発行された年 (YYYY 形式)

  • ログファイルが発行された月 (MM 形式)

  • ログファイルが発行された日 (DD 形式)

  • 同じ期間をカバーする他のファイルから当該ファイルを区別するための英数字の文字列

次の例は、完全なログファイルオブジェクト名を示しています。

amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz
注記

組織の証跡の場合、S3 バケットのログファイルオブジェクト名には、次のように、パスに組織単位 ID が含まれます。

amzn-s3-demo-bucket/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/Region/YYYY/MM/DD/file_name.json.gz

ログファイルを取得するには、Amazon S3 コンソール、Amazon S3 コマンドラインインターフェイス (CLI)、または を使用できますAPI。

Amazon S3 コンソールでログファイルを検索するには
  1. Amazon S3 コンソールを開きます。

  2. 指定したバケットを選択します。

  3. 必要なログファイルが見つかるまでオブジェクト階層内を移動します。

    ログファイルの拡張子はすべて .gz です。

次の例のように、オブジェクト階層を移動しますが、バケット名、アカウント ID、リージョン、および日付は異なります。

All Buckets amzn-s3-demo-bucket AWSLogs 123456789012 CloudTrail us-west-1 2014 06 20

先のオブジェクト階層のログファイルは、次のようになります。

123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
注記

めったに起こることではありませんが、1 つ以上の重複したイベントを含むログファイルを受け取ることがあります。ほとんどの場合、重複するイベントは同じ eventID を持っています。[eventID] フィールドの詳細については、「CloudTrail レコードの内容」を参照してください。