翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudTrail 仕組み
を作成すると、 CloudTrail 自動的にイベント履歴にアクセスできるようになります AWS アカウント。[イベント履歴] では、 AWS リージョンで過去 90 日間に記録された 管理イベントの表示、検索、およびダウンロードが可能で、変更不可能な記録を確認できます。
AWS アカウント 過去 90 日間のイベントを継続的に記録するには、トレイルまたは CloudTrail Lake イベントデータストアを作成します。
トピック
CloudTrail イベント履歴
過去 90 日間の管理イベントは、 CloudTrail イベント履歴ページに移動するとコンソールで簡単に確認できます。aws cloudtrail
lookup-events コマンド、または LookupEvents API 操作を実行してイベント履歴を表示することもできます。イベント履歴内のイベントは、単一の属性でイベントをフィルタリングすることによって検索できます。詳細については、「 CloudTrail イベント履歴の操作」を参照してください。
[イベント履歴] はアカウント内に存在する証跡やイベントデータストアには接続されておらず、証跡やイベントデータストアに加えた設定変更の影響も受けません。
CloudTrail lookup-eventsイベント履歴ページの閲覧やコマンドの実行には料金はかかりません。
CloudTrail レイクデータストアとイベントデータストア
イベントデータストアを作成して、CloudTrail イベント (管理イベント、データイベント)、CloudTrailInsights イベント、AWS Audit Manager 証拠、AWS Config 構成項目、または外部のイベントをログに記録できます AWS。
イベントデータストアは AWS リージョン、 AWS リージョン AWS アカウント内の現在のイベントまたはすべてのイベントをログに記録できます。外部からの統合イベントの記録に使用するイベントデータストアは、1 AWS つのリージョンのみを対象とする必要があります。マルチリージョンのイベントデータストアにすることはできません。
に組織を作成した場合は AWS Organizations、 AWS その組織内のすべてのアカウントのすべてのイベントを記録する組織イベントデータストアを作成できます。組織のイベントデータストアを、すべての AWS リージョンまたは現在のリージョンに適用できます。組織のイベントデータストアは管理アカウントまたは委任された管理者アカウントで作成する必要があり、組織への適用として指定した場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは、組織のイベントデータストアを表示することも、これを変更または削除することもできません。組織のイベントデータストアは、外部からのイベントの収集には使用できません AWS。詳細については、「組織のイベントデータストアについて」を参照してください。
デフォルトでは、イベントデータストア内のすべてのイベントはによって暗号化されます CloudTrail。イベントデータストアを設定する際、独自のデータストアを使用することを選択できます AWS KMS key。独自の KMS キーを使用すると、 AWS KMS 暗号化と復号化にコストがかかります。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。詳細については、「AWS KMS キーによる CloudTrail ログファイルの暗号化 (SSE-KMS)」を参照してください。
次の表は、イベントデータストアで実行できるタスクに関する情報を示しています。
| タスク | 説明 |
|---|---|
|
CloudTrail Lake ダッシュボードを使用して、管理イベント、S3 データイベント、または Insights イベントを収集するイベントデータストア内のイベントを視覚化できます。 |
|
|
読み取り専用、書き込み専用、またはすべての管理イベントをログに記録するようにイベントデータストアを設定します。デフォルトでは、イベントデータには管理イベントのログが保存されます。 |
|
|
データイベントをログに記録するようにイベントデータストアを設定します。高度なイベントセレクターを使用して、、 |
|
Insights イベントをログ記録するようにイベントデータストアを設定し、管理 API コールに関連する異常なアクティビティを特定し応答できるようにします。詳細については、「Insights イベントのログ記録」を参照してください。 Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail
の料金 |
|
トレイルイベントを新規または既存のイベントデータストアにコピーして、 point-in-time トレイルに記録されたイベントのスナップショットを作成できます。 |
|
イベントデータストアをフェデレートして、データカタログ内のイベントデータストアに関連付けられたメタデータを確認し、Amazon Athena を使用してイベントデータに対して SQL クエリを実行できます。 AWS Glue AWS Glue データカタログに保存されているテーブルメタデータにより、Athena クエリエンジンは、クエリするデータを検索、読み取り、処理する方法を知ることができます。 |
|
CloudTrail 管理イベント、データイベント、 AWS Config または構成項目を収集するイベントデータストアでのイベント取り込みを停止または開始できます。 |
|
CloudTrail Lakeインテグレーションを使用すると、オンプレミスやクラウド、仮想マシン、コンテナでホストされている社内アプリケーションやSaaSアプリケーション、仮想マシン、コンテナなど、ハイブリッド環境のあらゆる外部ソースからのユーザーアクティビティデータを記録して保存できます。 AWS利用可能なインテグレーションパートナーについては、「Lake インテグレーション」を参照してくださいAWS CloudTrail 。 |
|
CloudTrail コンソールには、独自のクエリの作成を始めるのに役立つサンプルクエリが多数用意されています。 |
|
CloudTrail のクエリは SQL で作成されています。 CloudTrail Lake Editor タブでクエリを作成するには、SQL でクエリを一から記述するか、保存済みクエリまたはサンプルクエリを開いて編集します。 |
|
|
クエリの実行後に、クエリ結果をS3 バケットに保存できます。 |
|
保存した CloudTrail Lake クエリ結果を含む CSV ファイルをダウンロードできます。 |
|
CloudTrail クエリ結果の整合性検証を使用して、クエリ結果が S3 CloudTrail バケットに配信された後に、クエリ結果が変更されたか、削除されたか、または変更されていないかを判断できます。 |
CloudTrail Lake の詳細については、を参照してくださいAWS CloudTrail Lake の使用。
CloudTrail Lake のイベントデータストアとクエリには料金がかかります。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。Lake でクエリを実行すると、スキャンされたデータ量に基づいて料金が発生します。Lake CloudTrail コストの価格設定と管理について詳しくは、「AWS CloudTrail 料金表
CloudTrail トレイル
証跡とは、指定した Amazon S3 バケットにイベントを配信できる設定のことです。また、Amazon CloudWatch ログと Amazon を使用して、イベントをトレイルに配信して分析することもできます EventBridge。
トレイルでは、 CloudTrail 管理イベント、データイベント、および Insights イベントをログに記録できます。
には、マルチリージョントレイルとシングルリージョントレイルの 2 種類のトレイルを作成できます AWS アカウント。
- マルチリージョントレイル
-
マルチリージョントレイルを作成すると、 CloudTrail AWS リージョン AWS 作業しているパーティションのすべてのイベントが記録され、指定した S3 CloudTrail バケットにイベントログファイルが配信されます。マルチリージョントレイルを作成した後にを追加すると、その新しいリージョンが自動的に含まれ、そのリージョンのイベントが記録されます。 AWS リージョン マルチリージョンの証跡を作成すると、アカウント内のすべてのリージョンでのアクティビティを把握できるため、推奨されるベストプラクティスとなります。 CloudTrail コンソールを使用して作成したトレイルはすべてマルチリージョンです。単一リージョンのトレイルをマルチリージョンのトレイルに変換するには、を使用します。 AWS CLI詳細については、「コンソールで証跡を作成する」および「1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用」を参照してください。
- 単一リージョントレイル
-
単一リージョントレイルを作成すると、 CloudTrail そのリージョンのイベントのみを記録します。次に、指定した Amazon S3 CloudTrail バケットにイベントログファイルを配信します。 AWS CLIを使用する際は、単一のリージョンの証跡のみを作成することができます。さらに 1 つの証跡を作成すると、それらの証跡から同じ S3 CloudTrail バケットまたは別のバケットにイベントログファイルを配信できます。 AWS CLI または API を使用してトレイルを作成する場合のデフォルトオプションです。 CloudTrail 詳細については、「を使用した証跡の作成、更新、管理 AWS CLI」を参照してください。
注記
どちらのタイプの証跡でも、任意のリージョンから Amazon S3 バケットを指定できます。
で組織を作成した場合は AWS Organizations、 AWS その組織内のすべてのアカウントのすべてのイベントを記録する組織証跡を作成できます。 AWS 組織証跡はすべての地域に適用することも、現在の地域に適用することもできます。組織の証跡は管理アカウントまたは委任された管理者アカウントで作成する必要があり、組織への適用として指定されている場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは組織記録を確認できますが、変更や削除はできません。デフォルトでは、メンバーアカウントは Amazon S3 バケット内にある組織の証跡のログファイルにアクセスできません。
デフォルトでは、 CloudTrail コンソールで記録を作成すると、イベントログファイルは KMS キーで暗号化されます。SSE-KMS 暗号化を有効にしない場合、イベントログは Amazon S3 サーバー側暗号化 (SSE) を使用して暗号化されます。 バケットにログファイルを任意の期間、保存することができます。また、Amazon S3 ライフサイクルのルールを定義して、自動的にログファイルをアーカイブまたは削除することもできます。ログファイルの配信と確認に関する通知が必要な場合は、Amazon SNS 通知を設定できます。
CloudTrail ログファイルを 1 時間に複数回、約 5 分おきに発行します。これらのログファイルには、 CloudTrailサポートしているアカウントのサービスからの API 呼び出しが含まれています。詳細については、「CloudTrail がサポートするサービスと統合」を参照してください。
注記
CloudTrail 通常、API 呼び出しから平均約 5 分以内にログが配信されます。この時間は保証されません。詳細については、「AWS CloudTrail サービスレベルアグリーメント
トレイルの設定を誤ると (S3 バケットにアクセスできないなど)、ログファイルを S3 バケットに 30 日間再配信しようとしますが、 CloudTrail attempted-to-deliver これらのイベントには標準料金が適用されます。 CloudTrail 証跡の不適切な設定による課金を避けるには、その証跡を削除する必要があります。
CloudTrail ユーザーが直接行ったアクション、またはユーザーに代わってサービスが行ったアクションをキャプチャします。 AWS たとえば、 AWS CloudFormation CreateStack呼び出しによって、Amazon EC2、Amazon RDS、Amazon EBS、またはテンプレートで要求されるその他のサービスへの追加の AWS CloudFormation API 呼び出しが発生する可能性があります。この動作は正常であり、想定されています。 AWS アクションがサービスによって実行されたかどうかは、invokedbyイベントのフィールドで確認できます。 CloudTrail
次の表は、トレイルで実行できるタスクに関する情報を示しています。
| タスク | 説明 |
|---|---|
|
読み取り専用、書き込み専用、またはすべての管理イベントをログに記録するようにトレイルを設定します。 |
|
|
高度なイベントセレクターを使用すると、対象のデータイベントのみを記録する詳細なセレクターを作成できます。高度なイベントセレクターを使用すると、 |
|
|
管理 API コールに関連する異常なアクティビティを特定して応答できるように、インサイトイベントを記録するように証跡を設定します。 Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail の料金 |
|
|
CloudTrail トレイルでインサイトを有効にすると、 CloudTrail コンソールまたはを使用して、最大 90 日間のインサイトイベントを表示できます AWS CLI。 |
|
|
CloudTrail トレイルでインサイトを有効にすると、過去 90 日間のトレイルのインサイトイベントを含む CSV または JSON ファイルをダウンロードできます。 |
|
|
既存のトレイルイベントを CloudTrail Lake イベントデータストアにコピーして、 point-in-time トレイルに記録されたイベントのスナップショットを作成できます。 |
|
|
バケットへのログファイルの配信に関する通知を受信するにはトピックを受信登録します。Amazon SNS は、Amazon Simple Queue Service でのプログラムによる通知を含む複数の方法で通知できます。 注記すべてのリージョンのログファイル配信に関する SNS 通知を受信するときは、証跡の SNS トピックを 1 つのみ指定します。すべてのイベントをプログラムで処理する場合は、「 CloudTrail 処理ライブラリを使用する」を参照してください。 |
|
|
S3 バケットからログファイルを検索してダウンロードします。 |
|
|
CloudWatch イベントをログに送信するようにトレイルを設定できます。その後、 CloudWatch Logs を使用して特定の API 呼び出しやイベントがないかアカウントを監視できます。 注記CloudWatch すべてのリージョンに適用される証跡をログロググループに送信するように設定すると、 CloudTrail すべてのリージョンのイベントが 1 つのロググループに送信されます。 |
|
|
ログファイルの暗号化は、ログファイルに追加のセキュリティレイヤーを提供します。 |
|
|
ログファイルの整合性検証は、 CloudTrail ログファイルが配信されてから変更されていないことを確認するのに役立ちます。 |
|
|
アカウント間でログファイルを共有することができます。 |
|
|
複数のアカウントからのログファイルを単一のバケットに集約できます。 |
|
|
CloudTrail と統合できるパートナーソリューションでアウトプットを分析しましょう。 CloudTrailパートナーソリューションでは、変更の追跡、トラブルシューティング、セキュリティ分析などの幅広い機能セットが提供されます。 |
CloudTrail 証跡を作成することで、進行中の管理イベントのコピーを 1 つでも無料で S3 バケットに配信できますが、Amazon S3 ストレージには料金がかかります。 CloudTrail 料金の詳細については、「AWS CloudTrail 料金表
CloudTrail インサイトイベント
AWS CloudTrail インサイトは、 CloudTrail 管理イベントを継続的に分析することで、 AWS ユーザーが API 呼び出しや API エラー率に関連する異常なアクティビティを特定して対応するのに役立ちます。 CloudTrail Insights は、API 呼び出し量と API エラー率の通常のパターン (ベースラインとも呼ばれる) を分析し、呼び出し量またはエラー率が通常のパターンから外れると Insights イベントを生成します。API コール量に関する Insights イベントは、write 管理 API に対して生成されます。一方、API エラー率に関する Insights イベントは、read と write の両方の管理 API に対して生成されます。
デフォルトでは、 CloudTrail トレイルとイベントデータストアは Insights イベントを記録しません。Insights イベントをログに記録するようにトレイルまたはイベントデータストアを設定する必要があります。詳細については、「を使用した Insights イベントのログ記録 AWS Management Console」および「を使用した Insights イベントのログ記録 AWS Command Line Interface」を参照してください。
Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail の料金
トレイルとイベントデータストアの Insights イベントの表示
CloudTrail トレイルとイベントデータストアの両方の Insights イベントをサポートしていますが、Insights イベントの表示方法やアクセス方法にはいくつか違いがあります。
証跡の Insights イベントの表示
トレイルで Insights イベントを有効にしていて、 CloudTrail 異常なアクティビティが検出された場合、Insights イベントはトレイルの送信先 S3 バケット内の別のフォルダーまたはプレフィックスに記録されます。 CloudTrail コンソールで Insights イベントを表示すると、インサイトのタイプとインシデント期間を確認することもできます。詳細については、「コンソールを使用した証跡の CloudTrail Insights イベントの表示」を参照してください。
トレイルで初めて CloudTrail Insights を有効にしてから、異常なアクティビティが検出された場合、最初の CloudTrail Insights イベントが配信されるまでに最大 36 時間かかることがあります。
イベントデータストアの Insights イベントの表示
CloudTrail Lake で Insights イベントを記録するには、Insights イベントを記録する送信先イベントデータストアと、Insights を有効にして管理イベントをログに記録するソースイベントデータストアが必要です。詳細については、「コンソールを使用して Insights イベントのイベントデータストアを作成する」を参照してください。
ソースイベントデータストアで初めて CloudTrail Insights を有効にしてから、異常なアクティビティが検出された場合、最初の Insights CloudTrail イベントが宛先イベントデータストアに配信されるまでに最大 7 日かかることがあります。
ソースイベントデータストアで CloudTrail Insights を有効にしていて、 CloudTrail 異常なアクティビティを検出すると、Insights CloudTrail イベントが送信先のイベントデータストアに配信されます。その後、送信先イベントデータストアにクエリを実行して Insights イベントに関する情報を取得し、オプションでクエリ結果を S3 バケットに保存できます。詳細については、「 CloudTrail コンソールでクエリを作成または編集する」および「 CloudTrail コンソールでサンプルクエリを表示する」を参照してください。
Insights Events ダッシュボードを表示して、送信先イベントデータストア内の Insights イベントを視覚化できます。Lake ダッシュボードの詳細については、「 CloudTrail コンソールで CloudTrail Lake ダッシュボードを表示する」を参照してください。
CloudTrail チャネル
CloudTrail 次の 2 種類のチャネルをサポートします。
- 外部のイベントソースとの CloudTrail Lake 統合用チャネル AWS
-
CloudTrail Lakeはチャネルを使用して CloudTrail、 AWS CloudTrail 外部から協力してくれる外部パートナーや独自のソースからLakeにイベントを持ち込みます。チャネルを作成するときは、チャネルソースから送信されるイベントを保存するイベントデータストアを 1 つまたは複数選択します。送信先イベントデータストアがアクティビティイベントをログ記録するように設定している間は、必要に応じてチャネルの送信先イベントデータストアを変更できます。外部パートナーからのイベント用のチャネルを作成するときは、パートナーまたはソースアプリケーションにチャネル ARN を提供します。チャネルにアタッチされたリソースポリシーにより、ソースはチャネルを介してイベントを送信できます。詳細については、「AWS CloudTrail API リファレンス」の「の外部でイベントソースとの統合を作成する AWS」および「
CreateChannel」を参照してください。 - サービスにリンクされたチャネル
-
AWS サービスは、 CloudTrail ユーザーに代わってイベントを受信するサービスにリンクされたチャネルを作成できます。 AWS サービスにリンクされたチャンネルを作成するサービスは、チャンネルの高度なイベントセレクターを設定し、チャンネルをすべてのリージョンに適用するのか、現在のリージョンに適用するのかを指定します。
CloudTrail コンソールを使用したり、AWS CLI CloudTrail によって作成されたサービスにリンクされたチャネルに関する情報を表示したりできます。 AWS のサービス
