CloudTrail ワークフロー - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail ワークフロー

このセクションでは、CloudTrail の機能と、これらの機能で実行できるタスクについて説明します。

イベント履歴

AWS アカウントのイベント履歴の表示

CloudTrail コンソールまたは AWS CLI を使用して、CloudTrail によって記録された過去 90 日間のイベントを表示および検索できます。詳細については、「CloudTrail イベント履歴の操作」を参照してください。

イベントのダウンロード

AWS アカウントの過去 90 日までの CloudTrail イベントを含む CSV ファイルまたは JSON ファイルをダウンロードできます。詳細については、「イベントのダウンロード」を参照してください。

CloudTrail Lake

CloudTrail の有効化

CloudTrail Lake を使用すると、AWS ソースと AWS の外部にあるソースの両方からのイベントに対して、きめ細かい SQL ベースのクエリを実行できます。イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基いたイベントのイミュータブルなコレクションです。イベントデータをイベントデータストアに保存できる期間は、[1 年間の延長可能な保存料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保存料金] オプションを選択した場合は最大 2,557 日 (約 7 年間) です。CloudTrail Lake は、セキュリティ関連の調査とトラブルシューティングを実行するために役立つ監査ソリューションの一部です。詳細については、「AWS CloudTrail Lake の使用」を参照してください。

イベントデータストアを作成する

CloudTrail Lake でイベントデータストアを作成する際には、イベントデータストアに保存するイベントのタイプを選択します。詳細については、「イベントデータストアを作成する」を参照してください。

Lake ダッシュボードを表示する

CloudTrail Lake ダッシュボードを使用して、イベントデータストアのイベントを視覚化できます。複数の異なるダッシュボードタイプから選択できます。詳細については、「Lake ダッシュボードを表示する」を参照してください。

ログ管理とデータイベント

読み取り専用、書き込み専用、またはすべての管理およびデータイベントをログに記録するようにイベントデータストアを設定します。デフォルトでは、イベントデータはログ管理イベントが記録されます。詳細については、「イベントのイベントデータストア CloudTrailを作成する」、「管理イベントのログ記録」、および「データイベントをログ記録する」を参照してください。

インサイトイベントのログへの記録

Insights イベントをログ記録するようにイベントデータストアを設定し、管理 API コールに関連する異常なアクティビティを特定し応答できるようにします。詳細については、 CloudTrail Insights イベントのイベントデータストアを作成する および Insights イベントのログ記録 を参照してください。

Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail の料金」を参照してください。

証跡イベントを CloudTrail Lake にコピーします

既存の証跡イベントを CloudTrail Lake イベントデータストアにコピーして、証跡に記録されたイベントのポイントインタイムスナップショットを作成できます。詳細については、「イベントデータストアへ証跡イベントをコピーします」を参照してください。

イベントデータストアでのフェデレーションを有効にする

イベントデータストアをフェデレーションして、AWS Glue データカタログ内のイベントデータストアに関連付けられたメタデータを確認し、Amazon Athena を使用してイベントデータに対する SQL クエリを実行できます。AWS Glue データカタログにあるテーブルメタデータにより、Athena クエリエンジンは、クエリするデータを検索、読み込み、および処理する方法を把握できるようになります。詳細については、「イベントデータストアのフェデレーション」を参照してください。

イベントデータストアでのイベント取り込みを停止または開始する

CloudTrail の管理イベントとデータイベント、または AWS Config 設定項目を収集するイベントデータストアでのイベントの取り込みを停止および開始できます。CloudTrail コンソールでイベントの取り込みを停止する方法の詳細については、「イベント取り込みの停止と開始」を参照してください。AWS CLI を使用してイベントの取り込みを停止する方法の詳細については、「AWS CLI でイベントデータストアでの取り込みを停止する」を参照してください。

AWS 外のイベントソースとの統合を作成する

CloudTrail Lake の統合を使用すると、オンプレミスやクラウドでホストされている社内アプリケーションや SaaS アプリケーション、仮想マシン、あるいはコンテナなど、AWS 以外のハイブリッド環境にある任意のソースから、ユーザーアクティビティデータに関するログを作成して保存できます。CloudTrail コンソールでの統合の作成の詳細については、「AWS 外のイベントソースとの統合を作成する」を参照してください。AWS CLI の使用による統合の作成の詳細については、「AWS CLI で AWS 外からのイベントをログに記録する統合を作成する」を参照してください。

CloudWatch コンソールでの Lake サンプルクエリを表示する

CloudTrail コンソールには、独自クエリの作成を開始するために役立つ、サンプルクエリが多数用意されています。詳細については、「CloudTrail コンソールでのサンプルクエリの表示」を参照してください。

クエリを作成または編集する

CloudTrail のクエリは SQL で作成されます。クエリは、CloudTrail Lake の [Editor] (エディタ) タブで、SQL でクエリを最初から記述するか、保存されたクエリ、またはサンプルクエリを開いて編集することによって構築できます。詳細については、クエリを作成または編集する および CloudTrail Lake SQL の制約 を参照してください。

CloudTrail Lake のクエリ結果を Amazon S3 バケットに保存する

クエリの実行後に、クエリ結果をS3 バケットに保存できます。詳細については、「クエリを実行し、クエリ結果を保存する」を参照してください。

保存されたクエリ結果のダウンロード

保存された CloudTrail Lake クエリ結果を含む CSV ファイルをダウンロードできます。詳細については、「CloudTrail Lake の保存済みクエリ結果をダウンロードする」を参照してください。

保存されたクエリ結果の検証

CloudTrail がクエリ結果を S3 バケットに配信した後、クエリ結果が変更、削除、または変更されなかったかどうかを判断するには、CloudTrail クエリ結果の整合性の検証を使用することができます。詳細については、「保存されたクエリ結果の検証」を参照してください。

ユーザーアクセス許可の管理

AWS Identity and Access Management (IAM) を使用して、イベントデータストアとチャネルの作成、設定、削除、イベントの取り込みの開始と停止、イベントデータストアへの証跡イベントのコピーを行うアクセス許可を持つユーザーを管理します。詳細については、「CloudTrail 管理のためのアクセス許可の付与」を参照してください。

委任された管理者を登録して、組織の CloudTrail リソースを管理する

委任された管理者を登録して、組織の CloudTrail イベントデータストアを管理できます。詳細については、「組織の委任された管理者」を参照してください。

パートナーソリューションの使用

CloudTrail と統合されたパートナーソリューションで CloudTrail 出力を分析します。パートナーソリューションでは、変更の追跡、トラブルシューティング、セキュリティ分析などの幅広い機能セットが提供されます。詳細については、「AWS CloudTrail パートナーページ」を参照してください。

追跡

証跡の作成

証跡により、CloudTrail はログファイルをお客様の Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての リージョンに適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した S3 バケットにログファイルが配信されます。詳細については、「AWS アカウント の証跡の作成」を参照してください。

ログ管理とデータイベント

読み取り専用、書き込み専用、またはすべての管理およびデータイベントをログに記録するように証跡を設定します。デフォルトでは、証跡は管理イベントをログに記録します。詳細については、管理イベントのログ記録 および データイベントをログ記録する を参照してください。

インサイトイベントのログへの記録

管理 API コールに関連する異常なアクティビティを特定して応答できるように、インサイトイベントを記録するように証跡を設定します。詳細については、「Insights イベントのログ記録」を参照してください。

Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail の料金」を参照してください。

Insights イベントの表示

証跡で CloudTrail Insights を有効にした後、CloudTrail コンソールまたは AWS CLI を使用して最大 90 日間 Insights イベントを表示できます。詳細については、「証跡の CloudTrail Insights イベントの表示」を参照してください。

Insights イベントのダウンロード

証跡で CloudTrail Insights を有効にすると、過去 90 日間までの証跡の Insights イベントを含む CSV ファイルまたは JSON ファイルをダウンロードできます。詳細については、「Insights イベントのダウンロード」を参照してください。

証跡イベントを CloudTrail Lake にコピーします

既存の証跡イベントを CloudTrail Lake イベントデータストアにコピーして、証跡に記録されたイベントのポイントインタイムスナップショットを作成できます。詳細については、「Lake への CloudTrail証跡イベントのコピー」を参照してください。

Amazon SNS トピックを作成してサブスクライブする

バケットへのログファイルの配信に関する通知を受信するにはトピックを受信登録します。Amazon SNS は、Amazon Simple Queue Service でのプログラムによる通知を含む複数の方法で通知できます。詳細については、CloudTrail の Amazon SNS 通知の設定を参照してください。

注記

すべてのリージョンのログファイル配信に関する SNS 通知を受信するときは、証跡の SNS トピックを 1 つのみ指定します。すべてのイベントをプログラムで処理する場合は、「CloudTrail Processing Library の使用」を参照してください。

ログファイルの表示

ログファイルを取得するには Amazon S3 を使用します。詳細については、CloudTrail ログファイルの取得と表示を参照してください。

CloudWatch Logs でのイベントのモニタリング

CloudWatch Logs にイベントを送信するように証跡を設定できます。CloudWatch Logs を使用して、アカウントで特定の API コールとイベントをモニタリングできます。詳細については、「Amazon CloudWatch Logs による CloudTrail ログファイルをモニタリングする」を参照してください。

注記

全リージョンに適用される証跡を、イベントを CloudWatch Logs ロググループに送信するように設定すると、CloudTrail は、すべてのリージョンから単一のロググループにイベントを送信します。

ログ暗号化の有効化

ログファイルの暗号化は、ログファイルに追加のセキュリティレイヤーを提供します。詳細については、「AWS KMS キーによる CloudTrail ログファイルの暗号化 (SSE-KMS)」を参照してください。

ログファイルの整合性の実現

ログファイルの整合性の検証により、CloudTrail によって配信されてからログファイルが変更されていないことを確認できます。詳細については、「CloudTrail ログファイルの整合性の検証」を参照してください。

他の AWS アカウントとのログファイルの共有

アカウント間でログファイルを共有することができます。詳細については、「AWS アカウント間での CloudTrail ログファイルを共有する」を参照してください。

複数のアカウントからのログの集約

複数のアカウントからのログファイルを単一のバケットに集約できます。詳細については、「複数のアカウントからの CloudTrail ログファイルの受信」を参照してください。

ユーザーアクセス許可の管理

AWS Identity and Access Management (IAM) を使用して、証跡の作成、設定、または削除、ログ記録の開始と停止、およびログファイルを持つバケットへのアクセスの権限をどのユーザーが持つかを管理します。詳細については、「CloudTrail 管理のためのアクセス許可の付与」を参照してください。

委任された管理者を登録して、組織の CloudTrail リソースを管理する

委任された管理者を登録することで、組織の CloudTrail 証跡を管理することができます。詳細については、「組織の委任された管理者」を参照してください。

パートナーソリューションの使用

CloudTrail と統合されたパートナーソリューションで CloudTrail 出力を分析します。パートナーソリューションでは、変更の追跡、トラブルシューティング、セキュリティ分析などの幅広い機能セットが提供されます。詳細については、「AWS CloudTrail パートナーページ」を参照してください。