証跡の更新 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

証跡の更新

証跡の設定を変更するには、以下の手順を使用します。

単一リージョンのトレイルを更新してすべてのリージョンのイベントをログに記録したり、すべてのリージョンのトレイルを更新して 1 つのリージョンのみのイベントをログに記録するには、AWS CLI。単一リージョンの証跡を更新して、すべてのリージョンのイベントをログに記録する方法の詳細については、」1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用。すべてのリージョントレイルを更新して 1 つのリージョンのイベントをログに記録する方法の詳細については、」マルチリージョンの証跡から単一リージョンの証跡への変換

AWS Management Console で証跡を更新するには

  1. にサインインします。AWS Management Consoleにアクセスして、CloudTrail コンソールをhttps://console.aws.amazon.com/cloudtrail/

  2. ナビゲーションペインで、[] を選択します。証跡[] を選択し、証跡名を選択します。

  3. Eclipse一般的な詳細] で、[編集次の設定を変更できます。証跡の名前は変更できません。

    • 組織への証跡を組織に適用-このトレイルがAWS Organizations組織の証跡。

    • 証跡のログの場所-この証跡のログを保存する S3 バケットまたはプレフィックスの名前を変更します。

    • ログファイルSSE-KMS 暗号化-SSE-S3 を使用する代わりに SSE-KMS を使用してログファイルを暗号化するかどうかを選択します。

    • ログファイルの検証-ログファイルの整合性検証を有効または無効にします。

    • SNS 通知の配信-証跡に指定されたバケットにログファイルが配信された Amazon Simple Notification Service (Amazon SNS) 通知を有効または無効にすることを選択します。

    1. 基準線をAWS Organizations組織の証跡を設定する際には、組織内のすべてのアカウントに対して証跡を有効にすることもできます。詳細については、「組織の証跡の作成」を参照してください。

    2. 指定したバケットをストレージの場所] で、[新しい S3 バケットの作成バケットを作成します。バケットを作成すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。

      注記

      [] を選択した場合既存の S3 バケットの使用で、バケットをトレイルログバケット名を選択するか、参照バケットを選択します。バケットポリシーでは、バケットへの書き込み権限を CloudTrail に付与する必要があります。バケットポリシーを手動で編集する方法については、CloudTrail の Amazon S3 バケットポリシー を参照してください。

      ログを見つけやすくするために、新しいフォルダー (プレフィックス) を使用して CloudTrail ログを保存できます。接頭辞をプレフィックス

    3. を使用する場合ログファイルSSE-KMS 暗号化] で、[[Enabled (有効)]SSE-S3 を使用する代わりに SSE-KMS を使用してログファイルを暗号化します。デフォルトは です。[Enabled (有効)]。この暗号化タイプの詳細については、」を参照してください。Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護

      SSE-KMS 暗号化を有効にするには、[] で [] を選択します。新規またはexist AWS KMSカスタマーマスターキー。EclipseAWS KMSエイリアスで、エイリアスを指定します。alias/MyAliasName。詳細については、「CMK を使用するために証跡を更新する」を参照してください。

      注記

      別のアカウントのキーの ARN を入力することもできます。詳細については、「CMK を使用するために証跡を更新する」を参照してください。キーポリシーでは、CloudTrail がキーを使用してログファイルを暗号化することと、指定したユーザーが暗号化されていない形式でログファイルを読み取ることを許可する必要があります。キーポリシーを手動で編集する方法については、設定AWS KMSCloudTrail の重要なポリシー を参照してください。

    4. を使用する場合ログファイルの検証] で、[[Enabled (有効)][] を選択して、S3 バケットにログダイジェストが配信されるようにします。ダイジェストファイルは、ログファイルが CloudTrail に配信された後に変更されていないことを確認するために使用できます。詳細については、「CloudTrail ログファイルの整合性の検証」を参照してください。

    5. を使用する場合SNS 通知の配信] で、[[Enabled (有効)]ログがバケットに配信されるたびに通知を受ける必要があります。CloudTrail は、1 つのログファイルに複数のイベントを保存します。SNS 通知は、ログファイルごとに送信されます (イベントごとではありません)。詳細については、「Amazon SNS の CloudTrail 通知の設定」を参照してください。

      SNS 通知を有効にすると、新しい SNS トピックの作成] で、[新規[] でトピックを作成するか、[] を選択します。exist既存のトピックを使用するには、を使用します。すべてのリージョンに適用される証跡を作成した場合、すべてのリージョンからのログファイル配信を知らせる SNS 通知は、ユーザーが作成した単一の SNS トピックに送信されます。

      を選択すると、新規に設定されている場合、CloudTrail は新しいトピックの名前を指定するか、名前を入力できます。を選択すると、existドロップダウンリストから SNS トピックを選択します。別のリージョンにあるトピックの ARN を入力したり、適切なアクセス許可を持ったアカウントにあるトピックの ARN を入力することもできます。詳細については、「CloudTrail の Amazon SNS トピックポリシー」を参照してください。

      トピックを作成する場合は、ログファイル配信の通知を受けるトピックを受信登録する必要があります。受信登録は Amazon SNS コンソールから行うことができます。通知頻度の都合上、受信登録については、Amazon SQS キューを使用して通知をプログラムで処理するように設定することをお勧めします。詳細については、Amazon Simple Notification Service 入門ガイドを参照してください。

  4. Eclipse[CloudWatch Logs]] で、[編集CloudTrail ログファイルの CloudWatch Logs への送信設定を変更します。選択[Enabled (有効)][CloudWatch Logs]をクリックして、ログファイルの送信を有効にします。詳細については、「CloudWatch Logs へのイベントの送信」を参照してください。

    1. CloudWatch Logs との統合を有効にする場合は、新規新しいロググループを作成するか、exist既存のものを使用するには、を使用します。を選択すると、新規CloudTrail では、CloudTrail によって、新しいロググループの名前が指定されます。または、名前を入力できます。

    2. を選択すると、existドロップダウンリストからロググループを選択します。

    3. 選択新規CloudWatch Logs にログを送信するためのアクセス許可の新しい IAM ロールを作成します。選択existドロップダウンリストから、既存の IAM ロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、ポリシードキュメント。このロールの詳細については、「CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント」を参照してください。

      注記

      証跡を設定する際には、別のアカウントに属している S3 バケットや SNS トピックを選択することもできます。ただし、CloudTrail から CloudWatch Logs ロググループにイベントを配信する場合は、現在のアカウント内に存在するロググループを選択する必要があります。

  5. Eclipseタグ] で、[編集証跡のタグを変更、追加、または削除します。証跡に 1 つ以上のカスタムタグ (キーと値のペア) を追加します。タグは、CloudTrail 証跡と、CloudTrail ログファイルを含む Amazon S3 バケットの両方を識別するのに役立ちます。その後、CloudTrail リソースのリソースグループを使用できます。詳細については、「AWS Resource Groups」および「軌跡にタグを使用する理由」を参照してください。

  6. Eclipse管理イベント] で、[編集をクリックして、管理イベントのログ設定を変更します。

    1. を使用する場合API アクティビティで、証跡で記録する対象を [] で記録するかどうかReadイベント,書き込みイベント、またはその両方です。詳細については、「管理イベント」を参照してください。

    2. 選択除外AWS KMSイベントフィルタリングAWS Key Management Service(AWS KMS) イベントから、証跡から デフォルト設定では、すべてのAWS KMSイベント.

      ログまたは除外するオプションAWS KMSイベントは、管理イベントを履歴に記録する場合にのみ使用できます。管理イベントのログを記録しないように選択した場合は、AWS KMSイベントはログに記録されず、AWS KMSイベントログ設定です。

      通常、EncryptDecryptGenerateDataKey などの AWS KMS アクションは、大容量イベント (99% 以上) を生成します。これらのアクションは、[Read (読み取り)] イベントとしてログに記録されるようになりました。少量、関連性AWS KMSなどのアクションDisable,Delete, およびScheduleKey(これは、通常 0.5% 未満を占めていますAWS KMSイベントボリューム) は書き込みイベント.

      のような大量のイベントを除外するにはEncrypt,Decrypt, およびGenerateDataKeyなどの関連イベントを記録しますが、Disable,DeleteおよびScheduleKeyで、ログを選択します書き込み管理イベントで、[] を選択して、[]除外AWS KMSイベント

    3. 選択Amazon RDS Data API イベントを除外する証跡から Amazon Relational Database Service データ API イベントをフィルタリングできます。デフォルト設定では、すべての Amazon RDS データ API イベントが含まれます。Amazon RDS データ API イベントの詳細については、「」を参照してください。による Data API コールのログ記録AWS CloudTrail()Aurora の Amazon RDS ユーザーガイド

  7. 重要

    ステップ 7 ~ 9 は、基本的なイベントセレクターを使用している場合に、トレイルにデータイベントを設定するためのものです。高度なイベントセレクターを使用している場合は、高度なイベントセレクタを使用したデータイベント設定の更新をクリックし、手順 10 でこの手順に戻り、先に進んでください。

    Eclipseデータイベント] で、[編集をクリックして、データイベントログ設定を変更します。基本的なイベントセレクタでは、Amazon S3 バケットのログ記録を指定することができます。AWS Lambda関数、DynamoDBTables、またはこれらのリソースの組み合わせを使用します。追加のデータイベントタイプは、高度なイベントセレクター。デフォルトでは、証跡はデータイベントを記録しません。データイベントのログ記録には追加料金が適用されます。詳細については、「データイベント」を参照してください。CloudTrail の料金については、AWS CloudTrail料金

    Amazon S3 バケットの場合:

    1. を使用する場合データイベントソース] で、[S3

    2. あなたは、ログを選択することができます現在および将来のすべての S3 バケットバケットまたは関数を個々に指定することもできます。デフォルトでは、現在および将来のすべての S3 バケットのデータイベントが記録されます。

      注記

      デフォルトを維持する現在および将来のすべての S3 バケットオプションでは、現在、すべてのバケットのデータイベントのログ記録が有効になります。AWSアカウントと、証跡の作成が完了した後に作成したバケットのすべてが表示されます。このアクティビティが、別の AWS アカウントに属するバケットで実行されている場合でも、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も行うことができます。

      トレイルが 1 つのリージョンにのみ適用される場合は、現在および将来のすべての S3 バケット証跡として、同じリージョン内のすべてのバケット、およびそのリージョンで後で作成するバケットに対して、データイベントのログ記録が有効になります。他のリージョンの Amazon S3 バケットのデータイベントは記録されません。AWSアカウント.

    3. デフォルトのままにすると、現在および将来のすべての S3 バケットで、ログを選択しますReadイベント,書き込みイベント、またはその両方です。

    4. 個々のバケットを選択するには、Readおよび書き込みのチェックボックスをオフにします。現在および将来のすべての S3 バケット。Eclipse個々のバケット選択データイベントをログに記録するバケットを参照します。特定のバケットを検索するには、目的のバケットのバケットプレフィックスを入力します。このウィンドウでは、複数のバケットを選択できます。選択バケットの追加より多くのバケットのデータイベントをログに記録します。[Logging]ReadイベントなどGetObject,書き込みイベントなどPutObjectか、または両方となります。

      この設定は、個別のバケットに設定した個々の設定よりも優先されます。たとえば、すべての S3 バケットにログ記録 [読み取り] イベントを指定し、データイベントログ記録に特定のバケットの追加を選択した場合、追加したバケットには既に [読み取り] が設定されています。選択を解除することはできません。[書き込み] のオプションしか設定することができません。

      ログ記録からバケットを削除するには、X

  8. データイベントをログに記録する別のデータ型を追加するには、データイベントタイプの追加

  9. Lambda 関数の場合:

    1. を使用する場合データイベントソース] で、[Lambda

    2. EclipseLambda 関数] で、[すべてのリージョンを使用してすべての Lambda 関数をログに記録するか、ARN としての入力関数特定の関数でデータイベントをログに記録します。

      すべての Lambda 関数のデータイベントをログに記録するにはAWSアカウントで現在および将来のすべての関数をログに記録する。この設定は、関数に個々に設定した各設定よりも優先されます。すべての関数が表示されていなくても、関数はすべてログ記録されます。

      注記

      すべてのリージョンで証跡を作成している場合は、この選択によって、現時点のすべての関数のデータイベントのログ記録が有効になります。AWSアカウントや、証跡作成後に任意のリージョンに作成する可能性のある Lambda 関数などがあります。1 つのリージョンの軌跡を作成する場合 (AWS CLI)、この選択により、現在そのリージョンにあるすべての関数のデータイベントログが有効になります。AWSアカウント、およびトレイルの作成完了後にそのリージョンに作成できる Lambda 関数が含まれます。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

      このアクティビティが、その他の AWS アカウントに属する関数で実行されている場合でも、すべての関数のデータイベントのログ記録を行うと、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も有効になります。

    3. を選択すると、ARN としての入力関数に、Lambda 関数の ARN を入力します。

      注記

      15,000 を超える Lambda 関数がアカウントに存在する場合は、証跡作成時に CloudTrail コンソールですべての関数を表示または選択することはできません。表示されていない場合でも、すべての関数をログ記録するオプションを選択することができます。特定の関数のデータイベントをログ記録する場合、ARN が分かれば、関数を手動で追加することができます。コンソールで証跡を作成したら、コンソールでAWS CLIとput-event-selectorsコマンドを使用して、特定の Lambda 関数のデータイベントログを設定します。詳細については、「による軌跡の管理AWS CLI」を参照してください。

  10. データイベントをログに記録する別のデータ型を追加するには、データイベントタイプの追加

  11. DynamoDB テーブルの場合:

    1. を使用する場合データイベントソース] で、[DynamoDB

    2. EclipseDynamoDB テーブルの選択] で、[参照をクリックしてテーブルを選択するか、アクセス権を持つ DynamoDB テーブルの ARN に貼り付けます。DynamoDB テーブルの ARN は、次の形式になります。

      arn:partition:dynamodb:region:account_ID:table/table_name

      別のテーブルを追加するには、行を追加をクリックし、テーブルを参照するか、アクセス権のあるテーブルの ARN に貼り付けます。

  12. Eclipseインサイトイベント選択する編集証跡で CloudTrail インサイトイベントをログに記録する場合は、

    Eclipseイベントタイプを選択し、インサイトイベント。ログ記録する必要があります書き込み管理イベントを使用して、インサイトイベントを記録します。

    CloudTrail インサイトが管理を分析する書き込みイベント、異常が検出された場合にイベントをログに記録します。デフォルトでは、証跡はインサイトイベントを記録しません。インサイトイベントの詳細については、「証跡のインサイトイベントの記録」を参照してください。インサイトイベントの記録には追加料金が適用されます。CloudTrail の料金については、AWS CloudTrail料金

    インサイトイベントは、/CloudTrail-Insight[] で指定されている同じ S3 バケットのストレージの場所] 領域に移動します。CloudTrail によって新しいプレフィックスが作成されます。たとえば、現在の送信先 S3 バケットの名前が S3bucketName/AWSLogs/CloudTrail/ の場合、新しいプレフィックスが付いた S3 バケットの名前は S3bucketName/AWSLogs/CloudTrail-Insight/ になります。

  13. 証跡の設定を変更したら、[証跡の設定] で [] を選択します。証跡を更新

高度なイベントセレクタを使用したデータイベント設定の更新

  1. トレイルの詳細ページのデータイベント] で、[編集

  2. まだデータイベントのログを記録していない場合は、データイベント

  3. を使用する場合データイベントの種類[] で、データイベントをログに記録するリソースのタイプを選択します。

  4. ログ選択テンプレートを選択します。CloudTrail には、リソースタイプのすべてのデータイベントをログに記録する定義済みのテンプレートが含まれています。カスタムログセレクターテンプレートを作成するには、Custom

    注記

    S3 バケットの事前定義済みテンプレートを選択すると、AWSアカウントと、証跡の作成が完了した後に作成したバケットのすべてが表示されます。このアクティビティが、別の AWS アカウントに属するバケットで実行されている場合でも、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も行うことができます。

    証跡が 1 つのリージョンのみに適用される場合、すべての S3 バケットをログに記録する定義済みのテンプレートを選択すると、同じリージョン内のすべてのバケット、およびそのリージョンで後で作成するバケットに対して、データイベントのログ記録が証跡として有効になります。他のリージョンの Amazon S3 バケットのデータイベントは記録されません。AWSアカウント.

    すべてのリージョンで証跡を作成している場合は、Lambda 関数の定義済みのテンプレートを選択すると、現時点のすべての関数のデータイベントのログ記録が有効になります。AWSアカウントや、証跡作成後に任意のリージョンに作成する可能性のある Lambda 関数などがあります。1 つのリージョンの軌跡を作成する場合 (AWS CLI)、この選択により、現在そのリージョンにあるすべての関数のデータイベントログが有効になります。AWSアカウント、およびトレイルの作成完了後にそのリージョンに作成できる Lambda 関数が含まれます。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

    このアクティビティが、その他の AWS アカウントに属する関数で実行されている場合でも、すべての関数のデータイベントのログ記録を行うと、AWS アカウントのユーザーまたはロールによって実行されるデータイベントのアクティビティのログ記録も有効になります。

  5. 定義済みのログセレクターテンプレートを適用し、別のデータイベントリソースタイプを追加しない場合は、変更の保存[] をクリックし、この手順の最後のステップに進みます。カスタムログセレクタテンプレートを適用するには、次のステップに進みます。

  6. カスタムのログセレクタテンプレートを作成するには、[ログセレクタテンプレートドロップダウンリストで、[] を選択します。Custom

  7. オプションで、カスタムログセレクタテンプレートの名前を入力します。

  8. Eclipse高度なイベントセレクターで、データイベントを収集する特定のリソースの式を作成します。

    1. 次のフィールドから選択します。配列(複数の値)を受け入れるフィールドの場合、CloudTrail は値の間に OR を追加します。

      • readOnly-readOnlyに設定できます。等号trueまたはfalse。両方を記録するにはreadおよびwriteイベントを追加しないでください。readOnlyセレクタ.

      • eventName-eventNameは任意の演算子を使用できます。これを使用して、CloudTrail に記録されるデータイベント (PutBucketまたはGetSnapshotBlock。このフィールドには、コンマで区切って複数の値を指定できます。

      • resources.type-このフィールドは必須です。resources.typeを使用できるのは、等号演算子で、次のいずれかの値を指定できます。AWS::S3::Object,AWS::S3Outposts::Object,AWS::Lambda::Function,AWS::DynamoDB::Table,AWS::ManagedBlockchain::Node,AWS::S3ObjectLambda::AccessPoint, またはAWS::EC2::Snapshot

      • resources.ARN-任意の演算子を使用することができますresources.ARNを使用する場合がありますが、等号または注目の場合、値は、テンプレートで指定したタイプの有効なリソースの ARN と正確に一致する必要があります。resources.type。たとえば、resources.typeequalsAWS። S3። オブジェクト場合、ARN は次のいずれかの形式である必要があります。特定の S3 バケット内のすべてのオブジェクトのすべてのデータイベントをログに記録するには、特定の S3 バケットのStartsWith演算子を使用し、一致する値としてバケット ARN のみを含めます。

        末尾のスラッシュは意図的です。除外しないでください。

        arn:partition:s3:::bucket_name/ arn:partition:s3:::bucket_name/object_or_file_name/

        メトリックresources.typeequalsAWS። S3アウトポスト። オブジェクトに設定され、演算子は等号または注目ARN は、次のような形式になります。

        arn:partition:s3-outposts:region:account_ID:object_path

        メトリックresources.typeequalsAWS::Lambda::Functionに設定され、演算子は等号または注目ARN は、次のような形式になります。

        arn:partition:lambda:region:account_ID:function:function_name

        メトリックresources.typeequalsAWS::DynamoDB::Tableに設定され、演算子は等号または注目ARN は、次のような形式になります。

        arn:partition:dynamodb:region:account_ID:table/table_name

        メトリックresources.typeequalsAWS::ManagedBlockchain::Nodeに設定され、演算子は等号または注目ARN は、次のような形式になります。

        arn:partition:managedblockchain:region:account_ID:nodes/node_ID

        メトリックresources.typeequalsAWS። S3ObjectLambda። AccessPointに設定され、演算子は等号または注目ARN は、次のような形式になります。

        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name

        メトリックresources.typeequalsAWS::EC2::Snapshotに設定され、演算子は等号または注目ARN は、次のような形式になります。

        arn:partition:ec2:region::snapshot/snapshot_ID

      データイベントリソースの ARN 形式の詳細については、」アクション、リソース、条件キー()AWS Identity and Access Managementユーザーガイド

    2. 各フィールドについて、+ 条件をクリックして、必要な数の条件を追加します。すべての条件に対して最大 500 個の指定値を指定できます。たとえば、証跡に記録されているデータイベントから 2 つの S3 バケットのデータイベントを除外するには、フィールドをリソース.arnの演算子を設定する場合は、注目を選択し、S3 バケット ARN に貼り付けるか、イベントをログに記録しない S3 バケットを参照します。

      2 番目の S3 バケットを追加するには、+ 条件をクリックし、上記の手順を繰り返し、ARN に貼り付けたり、別のバケットをブラウズしたりします。

      注記

      証跡上のすべてのセレクタに対して、最大 500 個の値を設定できます。これには、セレクタの複数の値の配列が含まれます。eventName。すべてのセレクタに単一の値がある場合、セレクタに最大500個の条件を追加できます。

      15,000 を超える Lambda 関数がアカウントに存在する場合は、証跡作成時に CloudTrail コンソールですべての関数を表示または選択することはできません。表示されていない場合でも、定義済みのセレクタテンプレートを使用して、すべての関数をログ記録することができます。特定の関数のデータイベントをログ記録する場合、ARN が分かれば、関数を手動で追加することができます。コンソールで証跡を作成したら、コンソールでAWS CLIとput-event-selectorsコマンドを使用して、特定の Lambda 関数のデータイベントログを設定します。詳細については、「による軌跡の管理AWS CLI」を参照してください。

    3. 選択+ フィールド必要に応じて、追加のフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。たとえば、あるセレクタで ARN を値に等しく指定しないでください。次に、ARN が別のセレクタで同じ値に等しくならないように指定します。

    4. カスタムセレクタテンプレートへの変更を保存するには、。別のログセレクタテンプレートを選択しないでください。また、このページを離れると、カスタムセレクタが失われます。

  9. データイベントをログに記録する別のデータ型を追加するには、データイベントタイプの追加。手順3からこの手順を繰り返して、データ・イベント・タイプの詳細イベント・セレクタを構成します。

  10. あなたが選択した後, でステップ 2: ログイベントの選択で、選択したログセレクターテンプレートのオプションを確認します。選択編集戻って変更するには、[] を使用します。

  11. Insights イベントと履歴のその他の設定を構成するには、このトピックで前述した手順証跡の更新