CloudTrail ログファイルの使用 - AWS CloudTrail

CloudTrail ログファイルの使用

CloudTrail ファイルを使用して、より高度なタスクを実行できます。

  • リージョンごとに複数の証跡を作成します。

  • CloudWatch Logs を送信して CloudTrail ログファイルをモニタリングします。

  • アカウント間でログファイルを共有します。

  • AWS CloudTrail Processing Library を使用して、Java でログ処理アプリケーションを作成します。

  • ログファイルを検証して、CloudTrail によって配信された後に変更されていないことを確認します。

アカウントでイベントが発生すると、CloudTrail はイベントが証跡の設定と一致するかどうかを評価します。証跡設定に一致するイベントだけが、Amazon S3 バケットと Amazon CloudWatch Logs ロググループに配信されます。

証跡が指定したイベントのみを処理してログに記録するように、複数の証跡を異なる方法で設定することができます。たとえば、ある証跡は読み取り専用データと管理イベントをログに記録してすべての読み取り専用イベントを 1 つの S3 バケットに配信するように設定し、別の証跡は書き込み専用データと管理イベントをログに記録してすべての書き込み専用イベントを別の S3 バケットに配信するように設定できます。

また、ある証跡は 1 つの証跡ログを使用してすべての管理イベントを 1 つの S3 バケットに配信し、別の証跡はすべてのデータイベントをログに記録して別の S3 バケットに配信するように、設定することもできます。

次の情報をログ記録するように証跡を設定できます。

  • データイベント: これらのイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての洞察が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。

  • 管理イベント: 管理イベントでは、AWS アカウントのリソースで実行される管理オペレーションについて知ることができます。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。管理イベントは、アカウントで発生する非 API イベントを含む場合もあります。例えば、ユーザーがアカウントにログインすると、CloudTrail は ConsoleLogin イベントをログに記録します。詳細については、「CloudTrail によってキャプチャされる API 以外のイベント」を参照してください。

    注記

    すべての AWS サービスが CloudTrail イベントをサポートしているわけではありません。サポートされるサービスの詳細については、「」を参照してくださいCloudTrail のサポートされているサービスと統合 特定のサービスで記録されている API の詳細情報については、「CloudTrail のサポートされているサービスと統合」で該当サービスのドキュメントを参照してください。

  • インサイトイベント: アカウントで検出された異常なアクティビティをインサイトイベントがキャプチャします。インサイトイベントを有効にして、CloudTrail が異常なアクティビティを検出した場合、インサイトイベントは証跡の宛先 S3 バケットに記録されますが、別のフォルダに保存されます。CloudTrail コンソールでインサイトイベントを表示すると、インサイトイベントのタイプとインシデント期間も確認できます。CloudTrail 追跡でキャプチャされた他のタイプのイベントとは異なり、インサイトイベントは、アカウントの典型的な使用パターンと大きく異なるアカウントの API 使用状況の変化を CloudTrail が検出した場合にだけログに記録されます。

    インサイトイベントは、書き込み管理 API に対してのみ生成されます。