コンソールで組織の証跡を作成する - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールで組織の証跡を作成する

CloudTrail コンソールから組織の証跡を作成するには、十分なアクセス許可を持つ管理アカウントまたは委任管理者アカウントのユーザーまたはロールとしてコンソールにサインインする必要があります。管理アカウントまたは委任管理者アカウントでサインインしない場合、コンソールから CloudTrail証跡を作成または編集するときに、組織に証跡を適用するオプションは表示されません。

組織の証跡をさまざまな方法で設定することができます。たとえば、組織の証跡については、次の詳細を設定することができます。

  • デフォルトでは、コンソールで証跡を作成すると、証跡によって、作業中の AWS パーティションのすべての AWS リージョン がログ記録されます。ベストプラクティスとして、 のすべてのリージョンでイベントをログに記録することを強くお勧めします AWS アカウント。単一リージョンの証跡を作成するには、 AWS CLI を使用します。

  • 証跡を組織に適用するかどうかを指定します。デフォルトでは、証跡は組織には適用されません。組織の証跡を作成するには、このオプションを選択する必要があります。

  • 組織の証跡用のログファイルを受信する Amazon S3 バケットを指定します。既存の Amazon S3 バケットを選択するか、組織の証跡用に特別に作成することができます。

  • 管理イベントとデータイベントについて、ログ記録の対象を [読み取り] イベントにするか、[書き込み] イベントにするか、それともすべてのイベントにするかを指定する。CloudTrail Insights イベントは、管理イベントにのみ記録されます。管理アカウントのリソースのログデータイベントを指定するには、コンソールのリストからそれらを選択します。データイベント記録を有効にする各リソースの ARM を指定した場合は、メンバーアカウントで指定できます。詳細については、「データイベント」を参照してください。

を使用して組織の証跡を作成するには AWS Management Console
  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/cloudtrail/ で CloudTrail コンソールを開きます。

    組織の証跡を作成するには、十分な権限 を持つ管理アカウントまたは委任された管理者アカウントの IAM ID を使用してサインインする必要があります。

  2. [Trails] (証跡) を選択し、[Create trail] (証跡の作成) を選択します。

  3. [Create Trail] (証跡の作成) ページの [Trail name] (証跡名) に証跡の名前を入力します。詳細については、「命名の要件」を参照してください。

  4. [組織内のすべてのアカウントに対して有効にする] を選択します。管理アカウントまたは委任された管理者アカウントのユーザーまたはロールでコンソールにサインインした場合にのみ、このオプションが表示されます。組織の証跡を正しく作成するには、ユーザーまたはロールに十分なアクセス許可があることを確認してください。

  5. [ストレージの場所] の [S3 バケットを作成する] を選択すると、新しいバケットが作成されます。バケットを作成すると、 は必要なバケットポリシー CloudTrail を作成して適用します。

    注記

    [Use existing S3 bucket] を選択した場合、[Trail log bucket name] のバケットを指定するか、[Browse] を選択してバケットを選択します。任意のアカウントに属するバケットを選択できますが、バケットポリシーは、そのアカウントに書き込むアクセス許可を付与 CloudTrailする必要があります。バケットポリシーを手動で編集する方法については、の Amazon S3 バケットポリシー CloudTrail を参照してください。

    ログを見つけやすくするには、既存のバケットに新しいフォルダ (プレフィックス とも呼ばれます) を作成して CloudTrail ログを保存します。プレフィックスを [プレフィックス] に入力します。

  6. [Log file SSE-KMS encryption] (ログファイルの SSE-KMS 暗号化) で、SSE-S3 暗号化を使用する代わりに SSE-KMS 暗号化を使用してログファイルを暗号化する場合は、[Enabled] (有効) を選択します。デフォルトは [Enabled] です。SSE-KMS 暗号化を有効にしない場合、ログは SSE-S3 暗号化を使用して暗号化されます。SSE-KMS 暗号化の詳細については、「AWS Key Management Service (SSE-KMS) によるサーバー側の暗号化の使用」を参照してください。SSE-S3 暗号化の詳細については、「Amazon S3 が管理する暗号化キーによるサーバー側の暗号化 (SSE−S3) の使用」を参照してください。

    SSE-KMS 暗号化を有効にする場合は、新規または既存の AWS KMS keyを選択します。AWS KMS エイリアス で、 形式でエイリアスを指定しますalias/MyAliasName。詳細については、「KMS キーを使用するようにリソースを更新する」を参照してください。

    注記

    別のアカウントのキーの ARN を入力することもできます。詳細については、「KMS キーを使用するようにリソースを更新する」を参照してください。キーポリシーでは、 CloudTrail が キーを使用してログファイルを暗号化し、指定したユーザーが暗号化されていない形式でログファイルを読み取れるようにする必要があります。キーポリシーを手動で編集する方法については、AWS KMS の主要ポリシーの設定 CloudTrail を参照してください。

  7. [Additional settings] で、次の操作を行います。

    1. [ログファイル検証を有効にする] で [Enabled] を選択して、S3 バケットにログダイジェストが配信されるようにします。ダイジェストファイルを使用して、 CloudTrail 配信後にログファイルが変更されていないことを確認できます。詳細については、「 CloudTrail ログファイルの整合性の検証」を参照してください。

    2. SNS 通知配信 では、ログがバケットに配信されるたびに通知されるように有効化 を選択します。 は複数のイベントをログファイルに CloudTrail 保存します。SNS 通知は、ログファイルごとに送信されます (イベントごとではありません)。詳細については、「の Amazon SNS 通知の設定 CloudTrail」を参照してください。

      SNS 通知を有効にすると、[Create a new SNS topic] で、[New] を選択してトピックを作成するか、[Existing] を選択して既存のトピックを使用します。すべてのリージョンに適用される証跡を作成した場合、すべてのリージョンからのログファイル配信を知らせる SNS 通知は、ユーザーが作成した単一の SNS トピックに送信されます。

      新しい を選択した場合、 は新しいトピックの名前 CloudTrail を指定するか、名前を入力できます。[Existing] を選択した場合、ドロップダウンリストから SNS トピックを選択します。別のリージョンにあるトピックの ARN を入力したり、適切なアクセス許可を持ったアカウントにあるトピックの ARN を入力することもできます。詳細については、「の Amazon SNS トピックポリシー CloudTrail」を参照してください。

      トピックを作成する場合は、ログファイル配信の通知を受けるトピックを受信登録する必要があります。受信登録は Amazon SNS コンソールから行うことができます。通知頻度の都合上、受信登録については、Amazon SQS キューを使用して通知をプログラムで処理するように設定することをお勧めします。詳細については、[Amazon Simple 通知サービスデベロッパーガイド] の [Amazon SNS の使用開始] を参照してください。

  8. オプションで、 CloudWatch ログ で有効 を選択してログファイルをログに送信する CloudTrail ように CloudWatch を設定します。詳細については、「 CloudWatch ログへのイベントの送信」を参照してください。

    注記

    管理アカウントのみが、 コンソールを使用して組織の証跡の CloudWatch ロググループを設定できます。委任管理者は、 AWS CLI または CloudTrail CreateTrail UpdateTrail API オペレーションを使用して CloudWatch Logs ロググループを設定できます。

    1. CloudWatch ログとの統合を有効にする場合は、新規 を選択して新しいロググループを作成するか、既存 を選択して既存のロググループを使用します。新しい を選択した場合、 は新しいロググループの名前 CloudTrail を指定するか、名前を入力できます。

    2. [Existing] を選択した場合、ドロップダウンリストからロググループを選択します。

    3. 新規 を選択して、ログを ログに送信するアクセス許可用の新しい IAM CloudWatch ロールを作成します。[Existing] を選択して、ドロップダウンリストから既存の IAM ロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、[ポリシードキュメント] を展開すると表示されます。このロールの詳細については、「 CloudTrail CloudWatch ログを監視に使用するためのロールポリシードキュメント」を参照してください。

      注記

      証跡を設定する際には、別のアカウントに属している S3 バケットや Amazon SNS トピックを選択することもできます。ただし、イベント CloudTrail を Logs CloudWatch ロググループに配信する場合は、現在のアカウントに存在するロググループを選択する必要があります。

  9. [タグ] で、1 つまたは複数のカスタムタグ (キーと値のペア) を証跡に追加します。タグは、証 CloudTrail 跡と CloudTrail ログファイルを含む Amazon S3 バケットの両方を識別するのに役立ちます。その後、リソースに CloudTrail リソースグループを使用できます。詳細については、「AWS Resource Groups」および「タグ」を参照してください。

  10. [Choose log events] ページで、ログに記録するイベントタイプを選択します。[管理イベント] で、次の操作を行います。

    1. [API activity] で、証跡で記録する対象を [読み取り] イベント、[書き込み] イベント、またはその両方を選択します。詳細については、「管理イベント」を参照してください。

    2. AWS KMS イベントを除外を選択して、証跡から (AWS KMS) イベントをフィルタリング AWS Key Management Service します。デフォルト設定では、すべての AWS KMS イベントが含まれています。

      AWS KMS イベントをログまたは除外するオプションは、証跡に管理イベントをログに記録する場合にのみ使用できます。管理イベントをログに記録しないことを選択した場合、 AWS KMS イベントはログに記録されず、 AWS KMS イベントログ設定を変更することはできません。

      AWS KMS Encrypt、、 などの アクションはDecryptGenerateDataKey通常、大量のイベント (99% 以上) を生成します。これらのアクションは、[読み取り] イベントとしてログに記録されるようになりました。、、 Delete ScheduleKey (通常は AWS KMS イベントボリュームの 0.5% 未満を占める) Disableなどの少量の関連 AWS KMS アクションは、書き込みイベントとして記録されます。

      EncryptDecryptGenerateDataKey のようなボリュームの大きなイベントを除外し、DisableDeleteScheduleKey などの関連イベントを記録する場合は、[書き込み] 管理イベントを記録することを選択し、[Exclude AWS KMS events] チェックボックスをオフにします。

    3. [Exclude Amazon RDS Data API events] を選択して、証跡から Amazon Relational Database Service データ API イベントを除外できます。デフォルト設定では、すべての Amazon RDS Data API イベントが含まれています。Amazon RDS Data API イベントの詳細については、Aurora の Amazon RDS Amazon RDS ユーザーガイドの「AWS CloudTrailによる Data API コールのログ記録」を参照してください。

  11. データイベントをログに記録するには、[データイベント] を選択します。データイベントのログ記録には追加料金が適用されます。詳細については、「AWS CloudTrail の料金」を参照してください。

  12. 重要

    ステップ 12 ~ 16 は、デフォルトである高度なイベントセレクターを使用してデータイベントを設定するためのものです。高度なイベントセレクターでは、より多くのデータイベントタイプを設定し、証跡でキャプチャするデータイベントをきめ細かく制御できます。基本的なイベントセレクターを使用する場合は、基本的なイベントセレクターを使用してデータイベント設定を構成する のステップを完了してから、この手順のステップ 17 に戻ってください。

    [データイベントタイプ] で、データイベントをログ記録するリソースのタイプを選択します。使用可能なデータイベントタイプの詳細については、「データイベント」を参照してください。

    注記

    Lake Formation によって作成された AWS Glue テーブルのデータイベントをログに記録するには、Lake Formation を選択します。

  13. ログセレクタテンプレートを選択します。 には、リソースタイプのすべてのデータイベントをログに記録する事前定義されたテンプレート CloudTrail が含まれています。カスタムログセレクタテンプレートを構築するには、[Custom] を選択します。

    注記

    S3 バケットの事前定義されたテンプレートを選択すると、 AWS 現在アカウントにあるすべてのバケットと、証跡の作成後に作成するバケットのデータイベントログ記録が有効になります。また、 AWS アカウント内の任意の IAM ID によって実行されたデータイベントアクティビティのログ記録も有効にします。これは、そのアクティビティが別の AWS アカウントに属するバケットで実行された場合でも同様です。

    証跡が 1 つのリージョンのみに適用される場合、すべての S3 バケットをログ記録する事前定義済みテンプレートを選択すると、同じリージョン内のすべてのバケット、およびそのリージョンで後に作成するバケットに対して、データイベントのログ記録が可能になります。 AWS アカウント内の他のリージョンの Amazon S3 バケットのデータイベントは記録されません。

    すべてのリージョンの証跡を作成する場合は、Lambda 関数の事前定義されたテンプレートを選択すると、 AWS アカウントで現在使用されているすべての関数と、証跡の作成後に任意のリージョンで作成できる Lambda 関数のデータイベントログ記録が有効になります。1 つのリージョンの証跡を作成する場合 ( を使用して実行 AWS CLI)、この選択により、アカウントのそのリージョンで現在使用しているすべての関数と、証跡の作成後にそのリージョンで作成する可能性のある Lambda 関数のデータイベントログ記録が有効になります AWS 。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

    すべての関数のデータイベントをログに記録すると、 AWS アカウント内の任意の IAM アイデンティティによって実行されたデータイベントアクティビティのログ記録も可能になります。これは、そのアクティビティが別の AWS アカウントに属する関数で実行された場合でも同様です。

  14. (オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、「2 つの S3 バケットだけのデータイベントを記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名は、拡張イベントセレクタに「Name」と表示され、[JSON ビュー] を展開すると表示されます。

  15. [Advanced event selectors] で、データイベントをログに記録する特定のリソースの式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。

    1. 次のフィールドから選択します。

      • readOnly - readOnly は、 または の値と等しくなるように設定できますfalsetrue読み取り専用データイベントは、Get* または Describe* イベントなどのリソースの状態を変更しないイベントです。書き込みイベントは、Put*Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。read および write イベントの両方を記録するには、readOnly セレクタを追加しないでください。

      • eventName - eventName は任意の演算子を使用できます。これを使用して、、、 など CloudTrail、 にログ記録されたデータイベントを含めたり除外PutBucketPutItemしたりできますGetSnapshotBlock

      • resources.ARN - 任意の演算子を で使用できますがresources.ARN、等号または不等号を使用する場合、値はテンプレートで の値として指定したタイプの有効なリソースの ARN と完全に一致する必要がありますresources.type

        以下の表は、それぞれの resources.type に有効な ARN フォーマットを示しています。

        注記

        resources.ARN フィールドを使用して、ARN ARNs を持たないリソースタイプをフィルタリングすることはできません。

        resources.type resources.ARN
        AWS::DynamoDB::Table1
        arn:partition:dynamodb:region:account_ID:table/table_name
        AWS::Lambda::Function
        arn:partition:lambda:region:account_ID:function:function_name

        AWS::S3::Object2

        arn:partition:s3:::bucket_name/ arn:partition:s3:::bucket_name/object_or_file_name/
        AWS::AppConfig::Configuration
        arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
        AWS::B2BI::Transformer
        arn:partition:b2bi:region:account_ID:transformer/transformer_ID
        AWS::Bedrock::AgentAlias
        arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
        AWS::Bedrock::KnowledgeBase
        arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
        AWS::Cassandra::Table
        arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
        AWS::CloudFront::KeyValueStore
        arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
        AWS::CloudTrail::Channel
        arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
        AWS::CodeWhisperer::Customization
        arn:partition:codewhisperer:region:account_ID:customization/customization_ID
        AWS::CodeWhisperer::Profile
        arn:partition:codewhisperer:region:account_ID:profile/profile_ID
        AWS::Cognito::IdentityPool
        arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
        AWS::DynamoDB::Stream
        arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
        AWS::EC2::Snapshot
        arn:partition:ec2:region::snapshot/snapshot_ID
        AWS::EMRWAL::Workspace
        arn:partition:emrwal:region:account_ID:workspace/workspace_name
        AWS::FinSpace::Environment
        arn:partition:finspace:region:account_ID:environment/environment_ID
        AWS::Glue::Table
        arn:partition:glue:region:account_ID:table/database_name/table_name
        AWS::GreengrassV2::ComponentVersion
        arn:partition:greengrass:region:account_ID:components/component_name
        AWS::GreengrassV2::Deployment
        arn:partition:greengrass:region:account_ID:deployments/deployment_ID
        AWS::GuardDuty::Detector
        arn:partition:guardduty:region:account_ID:detector/detector_ID
        AWS::IoT::Certificate
        arn:partition:iot:region:account_ID:cert/certificate_ID
        AWS::IoT::Thing
        arn:partition:iot:region:account_ID:thing/thing_ID
        AWS::IoTSiteWise::Asset
        arn:partition:iotsitewise:region:account_ID:asset/asset_ID
        AWS::IoTSiteWise::TimeSeries
        arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
        AWS::IoTTwinMaker::Entity
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
        AWS::IoTTwinMaker::Workspace
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
        AWS::KendraRanking::ExecutionPlan
        arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
        AWS::Kinesis::Stream
        arn:partition:kinesis:region:account_ID:stream/stream_name
        AWS::Kinesis::StreamConsumer
        arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
        AWS::KinesisVideo::Stream
        arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
        AWS::ManagedBlockchain::Network
        arn:partition:managedblockchain:::networks/network_name
        AWS::ManagedBlockchain::Node
        arn:partition:managedblockchain:region:account_ID:nodes/node_ID
        AWS::MedicalImaging::Datastore
        arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
        AWS::NeptuneGraph::Graph
        arn:partition:neptune-graph:region:account_ID:graph/graph_ID
        AWS::PCAConnectorAD::Connector
        arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
        AWS::QApps:QApp
        arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
        AWS::QBusiness::Application
        arn:partition:qbusiness:region:account_ID:application/application_ID
        AWS::QBusiness::DataSource
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
        AWS::QBusiness::Index
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
        AWS::QBusiness::WebExperience
        arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
        AWS::RDS::DBCluster
        arn:partition:rds:region:account_ID:cluster/cluster_name

        AWS::S3::AccessPoint3

        arn:partition:s3:region:account_ID:accesspoint/access_point_name
        AWS::S3ObjectLambda::AccessPoint
        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
        AWS::S3Outposts::Object
        arn:partition:s3-outposts:region:account_ID:object_path
        AWS::SageMaker::Endpoint
        arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
        AWS::SageMaker::ExperimentTrialComponent
        arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
        AWS::SageMaker::FeatureGroup
        arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
        AWS::SCN::Instance
        arn:partition:scn:region:account_ID:instance/instance_ID
        AWS::ServiceDiscovery::Namespace
        arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
        AWS::ServiceDiscovery::Service
        arn:partition:servicediscovery:region:account_ID:service/service_ID
        AWS::SNS::PlatformEndpoint
        arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
        AWS::SNS::Topic
        arn:partition:sns:region:account_ID:topic_name
        AWS::SQS::Queue
        arn:partition:sqs:region:account_ID:queue_name
        AWS::SSM::ManagedNode

        ARN は次のいずれかの形式である必要があります。

        • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

        • arn:partition:ec2:region:account_ID:instance/instance_ID

        AWS::SSMMessages::ControlChannel
        arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
        AWS::StepFunctions::StateMachine

        ARN は次のいずれかの形式である必要があります。

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name

        AWS::SWF::Domain
        arn:partition:swf:region:account_ID:/domain/domain_name
        AWS::ThinClient::Device
        arn:partition:thinclient:region:account_ID:device/device_ID
        AWS::ThinClient::Environment
        arn:partition:thinclient:region:account_ID:environment/environment_ID
        AWS::Timestream::Database
        arn:partition:timestream:region:account_ID:database/database_name
        AWS::Timestream::Table
        arn:partition:timestream:region:account_ID:database/database_name/table/table_name
        AWS::VerifiedPermissions::PolicyStore
        arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

        1 ストリームが有効になっているテーブルの場合、データイベントの resources フィールドには AWS::DynamoDB::StreamAWS::DynamoDB::Table の両方が含まれます。resources.typeAWS::DynamoDB::Table を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベント を除外するにはeventNameフィールドにフィルターを追加します。

        2 特定の S3 バケット内のすべてのオブジェクトのすべてのデータイベントをログ記録するには、StartsWith 演算子を使用し、値の一致するバケット ARN のみを含めます。末尾のスラッシュは意図的です。除外しないでください。

        3 S3 アクセスポイントのすべてのオブジェクトでイベントをログ記録するには、アクセスポイント ARN のみを使用し、オブジェクトパスを含めず、StartsWith または NotStartsWith 演算子を使用することを推奨します。

      データイベントリソースの ARN 形式の詳細については、AWS Identity and Access Management ユーザーガイドの「アクション、リソース、条件キー」を参照してください。

    2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。例えば、証跡に記録されたデータイベントから 2 つの S3 バケットのデータイベントを除外するには、 フィールドを resources.ARN に設定し、 の演算子を で始まらないように設定して、S3 バケット ARN に貼り付けるか、イベントをログに記録したくない S3 バケットを参照します。

      2 番目の S3 バケットを追加するには、[条件の追加] を選択した後に上記の手順を繰り返し、ARN に貼り付けるか、別のバケットをブラウズします。

      注記

      証跡上のすべてのセレクタに対して、最大 500 の値を設定できます。これには、eventName などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。

      アカウントに 15,000 を超える Lambda 関数がある場合、証跡の作成時に CloudTrail コンソールですべての関数を表示または選択することはできません。表示されていない場合でも、事前定義済みのセレクタテンプレートを使用してすべての関数をログ記録できます。特定の関数のデータイベントをログ記録する場合、ARN が分かれば、関数を手動で追加することができます。コンソールで証跡の作成を終了し、 AWS CLI および put-event-selectors コマンドを使用して、特定の Lambda 関数のデータイベントログ記録を設定することもできます。詳細については、「を使用した証跡の管理 AWS CLI」を参照してください。

    3. [+ Field] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。例えば、あるセレクタで ARN を値と等しく指定せず、次に、別のセレクタで同じ値に等しくない ARN を指定します。

  16. データイベントをログに記録する別のデータタイプを追加するには、[Add data event type] を選択します。ステップ 12 からこのステップを繰り返し、データイベントタイプのアドバンストイベントセレクタを設定します。

  17. 証跡で Insights イベントをログ CloudTrailに記録する場合は、Insights イベントを選択します。

    [Event type] で、[Insights events] を選択します。Insights イベントで、API コールレートAPI エラーレート、または両方を選択します。[API コール率] の Insights イベントをログに記録するには、[Write] 管理イベントをログ記録している必要があります。[API エラー率] の Insights イベントをログに記録するには、[Read] または [Write] 管理イベントをログ記録している必要があります。

    CloudTrail Insights は、異常なアクティビティの管理イベントを分析し、異常が検出されたときにイベントを記録します。デフォルトでは、証跡は Insights イベントを記録しません。Insights トイベントの詳細については、「Insights イベントのログ記録」を参照してください。Insights イベントの記録には追加料金が適用されます。 CloudTrail 料金については、「 AWS CloudTrail の料金」を参照してください。

    Insights イベントは、証跡の詳細ページのストレージロケーションエリアで指定されているのと同じ S3 バケット/CloudTrail-Insightの という名前の別のフォルダに配信されます。 CloudTrail は新しいプレフィックスを作成します。たとえば、現在の送信先 S3 バケットの名前が S3bucketName/AWSLogs/CloudTrail/ の場合、新しいプレフィックスが付いた S3 バケットの名前は S3bucketName/AWSLogs/CloudTrail-Insight/ になります。

  18. ログに記録するイベントタイプの選択が終了したら、[Next] を選択します。

  19. [Review and create] ページで選択内容を確認します。[Edit] を選択して、そのセクションに表示される証跡設定を変更します。証跡を作成する準備ができたら、[Create trail] を選択します。

  20. 新しい証跡が [Trails] (証跡) ページに表示されます。組織の証跡がすべてのメンバーアカウントのすべてのリージョンで作成されるまでに、最大で 24 時間かかることがあります。[Trails (証跡)] ページでは、すべてのリージョンを対象に、アカウント内の証跡が表示されます。約 5 分で、 は組織で行われた AWS API コールを示すログファイル CloudTrail を発行します。ユーザーは、指定した Amazon S3 バケット内のログファイルを確認することができます。

注記

証跡の作成後に証跡名を変更することはできません。ただし、証跡を削除して新しい証跡を作成することは可能です。

次のステップ

証跡を作成したら、証跡に戻って次の変更を加えることができます。

注記

証跡を設定する際には、別のアカウントに属している Amazon S3 バケットや SNS トピックを選択することもできます。ただし、イベント CloudTrail を Logs CloudWatch ロググループに配信する場合は、現在のアカウントに存在するロググループを選択する必要があります。