CloudTrail ワークフロー - AWS CloudTrail

CloudTrail ワークフロー

AWS アカウントのイベント履歴の表示

CloudTrail コンソールまたは AWS CLI を使用して、CloudTrail によって記録された過去 90 日間のイベントを表示および検索できます。詳細については、「CloudTrail Event 履歴でのイベントの表示」を参照してください。

イベントのダウンロード

AWS アカウントの過去 90 日までの CloudTrail イベントを含む CSV ファイルまたは JSON ファイルをダウンロードできます。詳細については、「イベントのダウンロード」または「Insights イベントのダウンロード」を参照してください。

保存されたクエリ結果のダウンロード

保存された CloudTrail Lake クエリ結果を含む CSV ファイルをダウンロードできます。詳細については、「CloudTrail Lake の保存済みクエリ結果をダウンロードする」を参照してください。

証跡の作成

証跡により、CloudTrail はログファイルをお客様の Amazon S3 バケットに配信できます。デフォルトでは、コンソールで追跡を作成するときに、追跡がすべてのリージョンに適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した S3 バケットにログファイルが配信されます。詳細については、「AWS アカウント の証跡の作成」を参照してください。

Amazon SNS トピックを作成してサブスクライブする

バケットへのログファイルの配信に関する通知を受信するにはトピックを受信登録します。Amazon SNS は、Amazon Simple Queue Service でのプログラムによる通知を含む複数の方法で通知できます。詳細については、CloudTrail の Amazon SNS 通知の設定 を参照してください。

注記

すべてのリージョンからのログファイルの配信に関する SNS 通知を受信する場合は、証跡の SNS トピックを 1 つだけ指定します。すべてのイベントをプログラムで処理する場合は、「CloudTrail Processing Library の使用」を参照してください。

ログファイルの表示

ログファイルを取得するには Amazon S3 を使用します。詳細については、CloudTrail ログファイルの取得と表示 を参照してください。

ユーザーアクセス許可の管理

AWS Identity and Access Management (IAM) を使用して、証跡の作成、設定、または削除、ログ記録の開始と停止、およびログファイルを持つバケットへのアクセスの権限をどのユーザーが持つかを管理します。詳細については、「CloudTrail のユーザーアクセス権限のコントロール 」を参照してください。

CloudWatch Logs でのイベントのモニタリング

CloudWatch Logs にイベントを送信するように証跡を設定できます。CloudWatch Logs を使用して、アカウントで特定の API コールとイベントをモニタリングできます。詳細については、「Amazon CloudWatch Logs による CloudTrail ログファイルをモニタリングする」を参照してください。

注記

すべてのリージョンに適用される証跡を、イベントを CloudWatch Logs ロググループに送信するように設定した場合、CloudTrail はすべてのリージョンからのイベントを単一のロググループに送信します。

ログ管理とデータイベント

読み取り専用、書き込み専用、またはすべての管理およびデータイベントをログに記録するように証跡を設定します。デフォルトでは、証跡は管理イベントをログに記録します。詳細については、「CloudTrail ログファイルの使用」を参照してください。

CloudTrail インサイトイベントのログ記録

write 管理 API コールに関連する異常なアクティビティを特定して応答できるように、インサイトイベントを記録するように証跡を設定します。読み取り専用の管理イベントを記録するか、管理イベントを記録しないように証跡が設定されている場合、CloudTrail インサイトイベントログを有効にできません。詳細については、「証跡の Insights イベントの記録」を参照してください。

ログ暗号化の有効化

ログファイルの暗号化は、ログファイルに追加のセキュリティレイヤーを提供します。詳細については、「AWS KMS キーによる CloudTrail ログファイルの暗号化 (SSE-KMS)」を参照してください。

ログファイルの整合性の実現

ログファイルの整合性の検証により、CloudTrail によって配信されてからログファイルが変更されていないことを確認できます。詳細については、「CloudTrail ログファイルの整合性の検証」を参照してください。

CloudTrail の有効化

CloudTrail Lake では、イベントに対してきめ細かい SQL ベースのクエリを実行することができます。イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクターを適用することによって選択する条件に基いたイベントのイミュータブルなコレクションです。イベントデータは、イベントデータストアに最大 7 年間保持できます。CloudTrail Lake は、セキュリティ関連の調査とトラブルシューティングを実行するために役立つ監査ソリューションの一部です。詳細については、「AWS CloudTrail Lake の使用」を参照してください。

証跡イベントを CloudTrail Lake にコピーします

既存の証跡イベントを CloudTrail Lake イベントデータストアにコピーして、証跡に記録されたイベントのポイントインタイムスナップショットを作成できます。詳細については、「証跡イベントを CloudTrail Lake にコピー」を参照してください。

CloudTrail Lake のクエリ結果を Amazon S3 バケットに保存する

クエリの実行後に、クエリ結果をS3 バケットに保存できます。詳細については、「クエリを実行し、クエリ結果を保存する」を参照してください。

他の AWS アカウントとのログファイルの共有

アカウント間でログファイルを共有することができます。詳細については、「AWS アカウント間での CloudTrail ログファイルを共有する」を参照してください。

複数のアカウントからのログの集約

複数のアカウントからのログファイルを単一のバケットに集約できます。詳細については、「複数のアカウントから CloudTrail ログファイルを受け取る 他のアカウントでコールされたデータイベントのバケット所有者アカウント ID を秘匿化する」を参照してください。

パートナーソリューションの使用

CloudTrail と統合されたパートナーソリューションで CloudTrail 出力を分析します。パートナーソリューションでは、変更の追跡、トラブルシューティング、セキュリティ分析などの幅広い機能セットが提供されます。詳細については、「AWS CloudTrail パートナーページ」を参照してください。