データイベントをログ記録する - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

データイベントをログ記録する

デフォルトでは、証跡とイベントデータストアはデータイベントを記録しません。追加の変更がイベントデータに適用されます。詳細については、「AWS CloudTrail の料金」を参照してください。

注記

トレイルによって記録されたイベントは Amazon EventBridge で確認できます。たとえば、管理イベントではなく、S3 オブジェクトのデータイベントをログ記録するように選択した場合、証跡は指定された S3 オブジェクトのデータイベントのみを処理して記録します。これらの S3 オブジェクトのデータイベントは Amazon で利用できます EventBridge。詳細については、Amazon EventBridge ユーザーガイドのAWS サービスからのイベント」を参照してください。

データイベント

データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについて知ることができます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。

データイベントには、次のようなものがあります。

証跡およびイベントデータストアで使用できるデータイベントタイプは、以下の表のとおりです。[データイベントタイプ (コンソール)] 列には、コンソールで有効な選択項目が表示されます。resources.type の値列には、または API resources.type を使用してそのタイプのデータイベントをトレイルまたはイベントデータストアに含めるために指定する値が表示されます。 AWS CLI CloudTrail

トレイルでは、ベーシックまたはアドバンスイベントセレクターを使用して Amazon S3 オブジェクト、Lambda 関数、および DynamoDB テーブル (表の最初の 3 行に表示) のデータイベントをログに記録できます。残りの行に表示されるデータイベントタイプをログに記録するには、高度イベントセレクタのみを使用できます。

イベントデータストアの場合、データイベントを含めるには、詳細イベントセレクタのみを使用できます。

AWS のサービス 説明 データイベントタイプ (コンソール) resources.type 値
Amazon DynamoDB

テーブルに対する Amazon DynamoDB アイテムレベルの API アクティビティ (、PutItemDeleteItem、および API オペレーションなど)。UpdateItem

注記

ストリームが有効になっているテーブルの場合、データイベントの resources フィールドには AWS::DynamoDB::StreamAWS::DynamoDB::Table の両方が含まれます。resources.typeAWS::DynamoDB::Table を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベントを除外するには、フィールドにフィルタを追加します。eventName

DynamoDB

AWS::DynamoDB::Table

AWS Lambda

AWS Lambda 関数実行アクティビティ (InvokeAPI)。

Lambda AWS::Lambda::Function
Amazon S3

S3 バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (GetObjectDeleteObject、、および PutObject API オペレーションなど)。

S3 AWS::S3::Object
AWS AppConfig

AWS AppConfig やの呼び出しなどの設定オペレーションの API アクティビティStartConfigurationSession GetLatestConfiguration

AWS AppConfig AWS::AppConfig::Configuration
AWS B2B データ交換

GetTransformerJob および StartTransformerJob の呼び出しなど、Transformer 操作用の B2B データ交換 API アクティビティ。

B2B データ交換 AWS::B2BI::Transformer
Amazon Bedrock エージェントエイリアスでの Amazon Bedrock API アクティビティ Bedrock エージェントエイリアス AWS::Bedrock::AgentAlias
ナレッジベースでの Amazon Bedrock API アクティビティ Bedrock ナレッジベース AWS::Bedrock::KnowledgeBase
Amazon CloudFront

CloudFront での API アクティビティ KeyValueStore

CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS Cloud Map AWS Cloud Map 名前空間上の API アクティビティ AWS Cloud Map 名前空間 AWS::ServiceDiscovery::Namespace
AWS Cloud Map サービス上の API アクティビティ AWS Cloud Map service AWS::ServiceDiscovery::Service
AWS CloudTrail

CloudTrail PutAuditEvents外部からのイベントの記録に使用される CloudTrail Lake チャネルでのアクティビティ AWS。

CloudTrail チャネル AWS::CloudTrail::Channel
Amazon CodeWhisperer カスタマイズに関する Amazon CodeWhisperer API アクティビティ。 CodeWhisperer カスタマイズ AWS::CodeWhisperer::Customization
プロファイルに対する Amazon CodeWhisperer API アクティビティ。 CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

Amazon Cognito アイデンティティプール に対する Amazon Cognito API アクティビティ。

Cognito アイデンティティプール AWS::Cognito::IdentityPool
Amazon DynamoDB

ストリームに対する Amazon DynamoDB API アクティビティ

DynamoDB Streams AWS::DynamoDB::Stream
Amazon Elastic Block Store

Amazon EBS スナップショットの PutSnapshotBlockGetSnapshotBlock、および ListChangedBlocks などの Amazon Elastic Block Store (EBS) ダイレクト API。

Amazon EBS ダイレクト API AWS::EC2::Snapshot
Amazon EMR ログ先行書き込みワークスペースでの Amazon EMR API アクティビティ。 EMR ログ先行書き込みワークスペース AWS::EMRWAL::Workspace
Amazon FinSpace

環境に対する Amazon FinSpace API アクティビティ。

FinSpace AWS::FinSpace::Environment
AWS Glue

AWS Glue Lake Formation によって作成されたテーブルに対する API アクティビティ。

注記

AWS Glue 現在、テーブルのデータイベントは次の地域でのみサポートされています。

  • 米国東部(バージニア北部)

  • 米国東部 (オハイオ)

  • 米国西部 (オレゴン)

  • 欧州 (アイルランド)

  • アジアパシフィック (東京) リージョン

Lake Formation AWS::Glue::Table
Amazon GuardDuty

GuardDuty ディテクターの Amazon API アクティビティ。

GuardDuty ディテクター AWS::GuardDuty::Detector
AWS HealthImaging

AWS HealthImaging データストアでの API アクティビティ。

医療用画像データストア AWS::MedicalImaging::Datastore
AWS IoT

AWS IoT証明書に対する API アクティビティ。

IoT 証明書 AWS::IoT::Certificate

AWS IoT モノに対する API アクティビティ

IoT のこと AWS::IoT::Thing
AWS IoT Greengrass Version 2

コンポーネントバージョン上の Greengrass コアデバイスからの Greengrass API アクティビティ

注記

Greengrass はアクセス拒否イベントを記録しません。

IoT Greengrass コンポーネントバージョン AWS::GreengrassV2::ComponentVersion

デプロイメント上の Greengrass コアデバイスからの Greengrass API アクティビティ

注記

Greengrass はアクセス拒否イベントを記録しません。

IoT Greengrass 導入 AWS::GreengrassV2::Deployment
AWS IoT SiteWise

アセットに対する IoT SiteWise API アクティビティ

IoT SiteWise アセット AWS::IoTSiteWise::Asset

SiteWise 時系列での IoT API アクティビティ

IoT SiteWise タイムシリーズ AWS::IoTSiteWise::TimeSeries
AWS IoT TwinMaker

エンティティ上の IoT TwinMaker API アクティビティ。

IoT TwinMaker エンティティ AWS::IoTTwinMaker::Entity

TwinMaker ワークスペースでの IoT API アクティビティ。

IoT TwinMaker ワークスペース AWS::IoTTwinMaker::Workspace
Amazon Kendra インテリジェントランキング

リスコア実行プラン に対する Amazon Kendra Intelligent Ranking API アクティビティ。

Kendra ランキング AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (Apache Cassandra 向け) テーブルの Amazon Keyspaces API アクティビティ カサンドラテーブル AWS::Cassandra::Table
Amazon Kinesis GetMediaPutMedia への呼び出しなど、ビデオストリームでの Amazon Kinesis API アクティビティ。 Kinesis ビデオストリーム AWS::KinesisVideo::Stream
Amazon Managed Blockchain

ネットワーク上の Amazon Managed Blockchain API アクティビティ。

Managed Blockchain ネットワーク AWS::ManagedBlockchain::Network

eth_getBalanceeth_getBlockByNumber などの Ethereum ノードに対する Amazon Managed Blockchain JSON-RPC コール。

Managed Blockchain AWS::ManagedBlockchain::Node
Amazon Neptune Graph

Neptune Graph でのクエリ、アルゴリズム、ベクトル検索などのデータ API アクティビティ。

Neptune Graph AWS::NeptuneGraph::Graph
AWS Private CA

AWS Private CA アクティブ・ディレクトリ API アクティビティ用コネクタ。

AWS Private CA アクティブディレクトリ用コネクタ AWS::PCAConnectorAD::Connector
Amazon Q アプリ

Amazon Q アプリケーションでのデータ API アクティビティ。

Amazon Q アプリ AWS::QApps:QApp
Amazon Q Business

アプリケーション上の Amazon Q Business API アクティビティ

Amazon Q Business アプリケーション AWS::QBusiness::Application

データソース上の Amazon Q Business API アクティビティ

Amazon Q Business データソース AWS::QBusiness::DataSource

インデックスでの Amazon Q Business API アクティビティ

Amazon Q Business インデックス AWS::QBusiness::Index

ウェブエクスペリエンスでの Amazon Q Business API アクティビティ

Amazon Q Business ウェブエクスペリエンス AWS::QBusiness::WebExperience
Amazon RDS

DB クラスターでの Amazon RDS API アクティビティ

RDS データ API-DB クラスター AWS::RDS::DBCluster
Amazon S3

アクセスポイントでの Amazon S3 API アクティビティ。

S3 アクセスポイント AWS::S3::AccessPoint

CompleteMultipartUpload および GetObject へのコールなどの Amazon S3 Object Lambda アクセスポイント API アクティビティ。

S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Amazon S3 on Outposts

Amazon S3 on Outposts オブジェクトレベル API アクティビティ。

S3 Outposts AWS::S3Outposts::Object
Amazon SageMaker エンドポイントでの Amazon SageMaker InvokeEndpointWithResponseStreamアクティビティ。 SageMaker エンドポイント AWS::SageMaker::Endpoint

SageMaker フィーチャストアでの Amazon API アクティビティ。

SageMaker feature store AWS::SageMaker::FeatureGroup

SageMaker 実験トライアルのコンポーネントでの Amazon API アクティビティ。

SageMaker メトリクス、実験、トライアルコンポーネント AWS::SageMaker::ExperimentTrialComponent
Amazon SNS

プラットフォームエンドポイントでの Amazon SNS Publish API オペレーション。

SNS プラットフォームエンドポイント AWS::SNS::PlatformEndpoint

トピックに関する Amazon SNS Publish および PublishBatch API オペレーション。

SNS トピック AWS::SNS::Topic
Amazon SQS

メッセージでの Amazon SQS API アクティビティ

SQS AWS::SQS::Queue
AWS Supply Chain

AWS Supply Chain インスタンスの API アクティビティ。

サプライチェーン AWS::SCN::Instance
Amazon SWF

ドメイン上の Amazon SWF API アクティビティ

SWF ドメイン AWS::SWF::Domain
AWS Systems Manager コントロールチャネルでのSystems Manager API アクティビティ Systems Manager AWS::SSMMessages::ControlChannel
管理対象ノードでのシステムマネージャ API アクティビティ Systems Manager マネージドノード AWS::SSM::ManagedNode
Amazon Timestream データベース上の Amazon Timestream Query API アクティビティ。 Timestream データベース AWS::Timestream::Database
テーブル上の Amazon Timestream Query API アクティビティ。 Timestream テーブル AWS::Timestream::Table
Amazon Verified Permissions

ポリシーストア上の Amazon Verified Permissions API アクティビティ。

Amazon Verified Permissions AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces シンクライアント WorkSpaces デバイス上のシンクライアント API アクティビティ。 シンクライアントデバイス AWS::ThinClient::Device
WorkSpaces 環境でのシンクライアント API アクティビティ。 シンクライアント環境 AWS::ThinClient::Environment
AWS X-Ray

トレースに対する X-Ray API アクティビティ。

X-Ray トレース AWS::XRay::Trace

証跡またはイベントデータストアの作成時、デフォルトでは、データイベントは記録されません。 CloudTrail データイベントを記録するには、アクティビティを収集する各リソースタイプを明示的に追加する必要があります。詳細については、「証跡の作成」および「 CloudTrailコンソールでイベント用のイベントデータストアを作成します。」を参照してください。

単一リージョンの証跡またはイベントデータストアでは、そのリージョンでアクセスできるリソースのデータイベントのみを記録できます。S3 バケットはグローバルですが、 AWS Lambda 関数と DynamoDB テーブルはリージョンです。

データイベントのログ記録には追加料金が適用されます。 CloudTrail 料金については、「料金表」を参照してください。AWS CloudTrail

によるデータイベントのロギング AWS Management Console

以下の手順では、 AWS Management Consoleを使用して既存のイベントデータストアまたは証跡を更新し、データイベントのログ記録を行う方法について説明します。データイベントをログ記録するために、イベントデータストアを作成する方法の詳細については、「 CloudTrailコンソールでイベント用のイベントデータストアを作成します。」を参照してください。データイベントをログ記録するために、証跡を作成する方法の詳細については、「コンソールで証跡を作成する」を参照してください。

証跡の場合、データイベントをログに記録する手順は、高度なイベントセレクターを使用しているか、基本的なイベントセレクターを使用しているかによって異なります。高度なイベントセレクターを使用してすべてのデータイベントタイプのデータイベントをログに記録できますが、基本的なイベントセレクターを使用して Amazon S3 バケット、バケットオブジェクト、 AWS Lambda 関数、および Amazon DynamoDB テーブルのデータイベントのみを記録できます。

以下の手順を実行し、既存の証跡を更新し、データイベントをログに記録します。

  1. AWS Management Console にサインインし、https://console.aws.amazon.com/cloudtrail/ CloudTrail のコンソールを開きます。

  2. ナビゲーションペインの [Lake] で、[イベントデータストア] を選択します。

  3. [イベントデータストア] ページで、更新するイベントデータストアを選択します。

    注記

    データイベントは、 CloudTrail イベントを含むイベントデータストアでのみ有効にできます。 CloudTrail イベントデータストアでは、 AWS Config 設定項目、 CloudTrail Insights イベント、AWS またはイベント以外のデータイベントを有効にすることはできません。

  4. 詳細ページの [データイベント] で、[編集] を選択します。

  5. まだデータイベントのログを記録していない場合は、[データイベント] チェックボックスをオンにします。

  6. [データイベントタイプ] で、データイベントをログ記録するリソースのタイプを選択します。

  7. ログセレクターテンプレートを選択してください。 CloudTrail リソースタイプのすべてのデータイベントをログに記録する定義済みのテンプレートが含まれています。カスタムログセレクタテンプレートを構築するには、[Custom] を選択します。

  8. (オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、「2 つの S3 バケットだけのデータイベントを記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名は、拡張イベントセレクタに「Name」と表示され、[JSON ビュー] を展開すると表示されます。

  9. [Advanced event selectors] で、データイベントをログに記録する特定のリソースの式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。

    1. 次のフィールドから選択します。

      • readOnly-readOnly truefalseまたはと同じ値に設定できます。読み取り専用データイベントは、Get* または Describe* イベントなどのリソースの状態を変更しないイベントです。書き込みイベントは、Put*Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。read および write イベントの両方を記録するには、readOnly セレクタを追加しないでください。

      • eventName - eventName は任意の演算子を使用できます。これを使用して、、、 CloudTrail、などPutBucketGetItemGetSnapshotBlockログに記録されたデータイベントをすべて含めたり除外したりできます。

      • resources.ARN-には任意の演算子を使用できますがresources.ARN、「等しい」または「等しくない」を使用する場合、値は、テンプレートで値として指定したタイプの有効なリソースの ARN と完全に一致する必要があります。resources.type

        以下の表は、それぞれの resources.type に有効な ARN フォーマットを示しています。

        注記

        resources.ARNこのフィールドを使用して ARN のないリソースタイプをフィルタリングすることはできません。

        resources.type resources.ARN
        AWS::DynamoDB::Table1
        arn:partition:dynamodb:region:account_ID:table/table_name
        AWS::Lambda::Function
        arn:partition:lambda:region:account_ID:function:function_name

        AWS::S3::Object2

        arn:partition:s3:::bucket_name/ arn:partition:s3:::bucket_name/object_or_file_name/
        AWS::AppConfig::Configuration
        arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
        AWS::B2BI::Transformer
        arn:partition:b2bi:region:account_ID:transformer/transformer_ID
        AWS::Bedrock::AgentAlias
        arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
        AWS::Bedrock::KnowledgeBase
        arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
        AWS::Cassandra::Table
        arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
        AWS::CloudFront::KeyValueStore
        arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
        AWS::CloudTrail::Channel
        arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
        AWS::CodeWhisperer::Customization
        arn:partition:codewhisperer:region:account_ID:customization/customization_ID
        AWS::CodeWhisperer::Profile
        arn:partition:codewhisperer:region:account_ID:profile/profile_ID
        AWS::Cognito::IdentityPool
        arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
        AWS::DynamoDB::Stream
        arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
        AWS::EC2::Snapshot
        arn:partition:ec2:region::snapshot/snapshot_ID
        AWS::EMRWAL::Workspace
        arn:partition:emrwal:region:account_ID:workspace/workspace_name
        AWS::FinSpace::Environment
        arn:partition:finspace:region:account_ID:environment/environment_ID
        AWS::Glue::Table
        arn:partition:glue:region:account_ID:table/database_name/table_name
        AWS::GreengrassV2::ComponentVersion
        arn:partition:greengrass:region:account_ID:components/component_name
        AWS::GreengrassV2::Deployment
        arn:partition:greengrass:region:account_ID:deployments/deployment_ID
        AWS::GuardDuty::Detector
        arn:partition:guardduty:region:account_ID:detector/detector_ID
        AWS::IoT::Certificate
        arn:partition:iot:region:account_ID:cert/certificate_ID
        AWS::IoT::Thing
        arn:partition:iot:region:account_ID:thing/thing_ID
        AWS::IoTSiteWise::Asset
        arn:partition:iotsitewise:region:account_ID:asset/asset_ID
        AWS::IoTSiteWise::TimeSeries
        arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
        AWS::IoTTwinMaker::Entity
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
        AWS::IoTTwinMaker::Workspace
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
        AWS::KendraRanking::ExecutionPlan
        arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
        AWS::KinesisVideo::Stream
        arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
        AWS::ManagedBlockchain::Network
        arn:partition:managedblockchain:::networks/network_name
        AWS::ManagedBlockchain::Node
        arn:partition:managedblockchain:region:account_ID:nodes/node_ID
        AWS::MedicalImaging::Datastore
        arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
        AWS::NeptuneGraph::Graph
        arn:partition:neptune-graph:region:account_ID:graph/graph_ID
        AWS::PCAConnectorAD::Connector
        arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
        AWS::QApps:QApp
        arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
        AWS::QBusiness::Application
        arn:partition:qbusiness:region:account_ID:application/application_ID
        AWS::QBusiness::DataSource
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
        AWS::QBusiness::Index
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
        AWS::QBusiness::WebExperience
        arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
        AWS::RDS::DBCluster
        arn:partition:rds:region:account_ID:cluster/cluster_name

        AWS::S3::AccessPoint3

        arn:partition:s3:region:account_ID:accesspoint/access_point_name
        AWS::S3ObjectLambda::AccessPoint
        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
        AWS::S3Outposts::Object
        arn:partition:s3-outposts:region:account_ID:object_path
        AWS::SageMaker::Endpoint
        arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
        AWS::SageMaker::ExperimentTrialComponent
        arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
        AWS::SageMaker::FeatureGroup
        arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
        AWS::SCN::Instance
        arn:partition:scn:region:account_ID:instance/instance_ID
        AWS::ServiceDiscovery::Namespace
        arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
        AWS::ServiceDiscovery::Service
        arn:partition:servicediscovery:region:account_ID:service/service_ID
        AWS::SNS::PlatformEndpoint
        arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
        AWS::SNS::Topic
        arn:partition:sns:region:account_ID:topic_name
        AWS::SQS::Queue
        arn:partition:sqs:region:account_ID:queue_name
        AWS::SSM::ManagedNode

        ARN は次のいずれかの形式である必要があります。

        • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

        • arn:partition:ec2:region:account_ID:instance/instance_ID

        AWS::SSMMessages::ControlChannel
        arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
        AWS::SWF::Domain
        arn:partition:swf:region:account_ID:/domain/domain_name
        AWS::ThinClient::Device
        arn:partition:thinclient:region:account_ID:device/device_ID
        AWS::ThinClient::Environment
        arn:partition:thinclient:region:account_ID:environment/environment_ID
        AWS::Timestream::Database
        arn:partition:timestream:region:account_ID:database/database_name
        AWS::Timestream::Table
        arn:partition:timestream:region:account_ID:database/database_name/table/table_name
        AWS::VerifiedPermissions::PolicyStore
        arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

        1 ストリームが有効になっているテーブルの場合、データイベントの resources フィールドには AWS::DynamoDB::StreamAWS::DynamoDB::Table の両方が含まれます。resources.typeAWS::DynamoDB::Table を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベントを除外するにはeventNameフィールドにフィルターを追加します。

        2 特定の S3 バケット内のすべてのオブジェクトのすべてのデータイベントをログ記録するには、StartsWith 演算子を使用し、値の一致するバケット ARN のみを含めます。末尾のスラッシュは意図的です。除外しないでください。

        3 S3 アクセスポイントのすべてのオブジェクトでイベントをログ記録するには、アクセスポイント ARN のみを使用し、オブジェクトパスを含めず、StartsWith または NotStartsWith 演算子を使用することを推奨します。

      データイベントリソースの ARN 形式の詳細については、AWS Identity and Access Management ユーザーガイドの「アクション、リソース、条件キー」を参照してください。

    2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。たとえば、イベントデータストアに記録されるデータイベントから 2 つの S3 バケットのデータイベントを除外するには、フィールドを Resources.ARN に設定し、演算子を for not start with に設定してから S3 バケット ARN を貼り付けるか、イベントをログに記録しない S3 バケットを参照します。

      2 番目の S3 バケットを追加するには、[条件の追加] を選択した後に上記の手順を繰り返し、ARN に貼り付けるか、別のバケットをブラウズします。

      注記

      イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、eventName などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。

      アカウントに 15,000 を超える Lambda 関数がある場合、 CloudTrailイベントデータストアを作成するときにコンソールですべての関数を表示または選択することはできません。表示されていない場合でも、事前定義済みのセレクタテンプレートを使用してすべての関数をログ記録できます。特定の関数のデータイベントをログ記録する場合、ARN が分かれば、関数を手動で追加することができます。コンソールでイベントデータストアの作成を完了し、を使用して特定の Lambda 関数のデータイベントロギングを設定することもできます。 AWS CLI 詳細については、「によるデータイベントのロギング AWS Command Line Interface」を参照してください。

    3. [+ Field] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。例えば、あるセレクタで ARN を値と等しく指定せず、次に、別のセレクタで同じ値に等しくない ARN を指定します。

  10. データイベントをログに記録する別のデータタイプを追加するには、[Add data event type] を選択します。ステップ 6 からこのステップまで繰り返し、データイベントタイプの高度なイベントセレクターを設定します。

  11. 選択内容をレビューして確認が完了したらしたら、[変更を保存] を選択します。

では AWS Management Console、トレイルで高度なイベントセレクターを使用している場合は、選択したリソースのすべてのデータイベントをログに記録する定義済みのテンプレートを選択できます。ログセレクタテンプレートを選択したら、最も表示したいデータイベントのみを含めるようにテンプレートをカスタマイズできます。高度なイベントセレクタの使用方法の詳細とヒントについては、このトピックの「アドバンストイベントセレクタを使用してイベントをログに記録する」を参照してください。

  1. CloudTrail コンソールのダッシュボードページまたはトレイルページで、更新するトレイルを選択します。

  2. 詳細ページの [データイベント] で、[編集] を選択します。

  3. まだデータイベントのログを記録していない場合は、[データイベント] チェックボックスをオンにします。

  4. [データイベントタイプ] で、データイベントをログ記録するリソースのタイプを選択します。

  5. ログセレクターテンプレートを選択します。 CloudTrail リソースタイプのすべてのデータイベントをログに記録する定義済みのテンプレートが含まれています。カスタムログセレクタテンプレートを構築するには、[Custom] を選択します。

    注記

    S3 バケット用の定義済みテンプレートを選択すると、 AWS アカウントに現在あるすべてのバケット、およびトレイルの作成後に作成したすべてのバケットのデータイベントログ記録が可能になります。また、別のアカウントに属するバケットでアクティビティが実行された場合でも、 AWS アカウント内のユーザーまたはロールが実行したデータイベントアクティビティを記録できます。 AWS

    証跡が 1 つのリージョンのみに適用される場合、すべての S3 バケットをログ記録する事前定義済みテンプレートを選択すると、同じリージョン内のすべてのバケット、およびそのリージョンで後に作成するバケットに対して、データイベントのログ記録が可能になります。 AWS アカウントの他のリージョンの Amazon S3 バケットのデータイベントは記録されません。

    すべてのリージョンの証跡を作成する場合、Lambda 関数の定義済みテンプレートを選択すると、 AWS アカウントに現在あるすべての関数、および証跡の作成後に任意のリージョンで作成できる Lambda 関数のデータイベントログ記録が有効になります。単一のリージョンの証跡を作成する場合(証跡の場合、これはを使用してのみ実行できます AWS CLI)、この選択により、 AWS アカウント内のそのリージョンに現在あるすべての関数、および証跡の作成後にそのリージョンで作成する可能性のあるすべての Lambda 関数のデータイベントロギングが有効になります。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

    すべての機能のデータイベントをログに記録することで、 AWS アカウント内の任意のユーザーまたはロールが実行したデータイベントアクティビティを記録することもできます。 AWS そのアクティビティが別のアカウントに属する機能で実行された場合でも。

  6. (オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、「2 つの S3 バケットだけのデータイベントを記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名は、拡張イベントセレクタに「Name」と表示され、[JSON ビュー] を展開すると表示されます。

  7. [Advanced event selectors] で、データイベントをログに記録する特定のリソースの式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。

    1. 次のフィールドから選択します。

      • readOnly-readOnly truefalseまたはと同じ値に設定できます。読み取り専用データイベントは、Get* または Describe* イベントなどのリソースの状態を変更しないイベントです。書き込みイベントは、Put*Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。read および write イベントの両方を記録するには、readOnly セレクタを追加しないでください。

      • eventName - eventName は任意の演算子を使用できます。これを使用して、、、 CloudTrail、などPutBucketGetItemGetSnapshotBlock記録されたデータイベントをすべて含めたり除外したりできます。

      • resources.ARN-には任意の演算子を使用できますがresources.ARN、「等しい」または「等しくない」を使用する場合、値は、テンプレートで値として指定したタイプの有効なリソースの ARN と完全に一致する必要があります。resources.type

        以下の表は、それぞれの resources.type に有効な ARN フォーマットを示しています。

        注記

        resources.ARNこのフィールドを使用して ARN のないリソースタイプをフィルタリングすることはできません。

        resources.type resources.ARN
        AWS::DynamoDB::Table1
        arn:partition:dynamodb:region:account_ID:table/table_name
        AWS::Lambda::Function
        arn:partition:lambda:region:account_ID:function:function_name

        AWS::S3::Object2

        arn:partition:s3:::bucket_name/ arn:partition:s3:::bucket_name/object_or_file_name/
        AWS::AppConfig::Configuration
        arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
        AWS::B2BI::Transformer
        arn:partition:b2bi:region:account_ID:transformer/transformer_ID
        AWS::Bedrock::AgentAlias
        arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
        AWS::Bedrock::KnowledgeBase
        arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
        AWS::Cassandra::Table
        arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
        AWS::CloudFront::KeyValueStore
        arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
        AWS::CloudTrail::Channel
        arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
        AWS::CodeWhisperer::Customization
        arn:partition:codewhisperer:region:account_ID:customization/customization_ID
        AWS::CodeWhisperer::Profile
        arn:partition:codewhisperer:region:account_ID:profile/profile_ID
        AWS::Cognito::IdentityPool
        arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
        AWS::DynamoDB::Stream
        arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
        AWS::EC2::Snapshot
        arn:partition:ec2:region::snapshot/snapshot_ID
        AWS::EMRWAL::Workspace
        arn:partition:emrwal:region:account_ID:workspace/workspace_name
        AWS::FinSpace::Environment
        arn:partition:finspace:region:account_ID:environment/environment_ID
        AWS::Glue::Table
        arn:partition:glue:region:account_ID:table/database_name/table_name
        AWS::GreengrassV2::ComponentVersion
        arn:partition:greengrass:region:account_ID:components/component_name
        AWS::GreengrassV2::Deployment
        arn:partition:greengrass:region:account_ID:deployments/deployment_ID
        AWS::GuardDuty::Detector
        arn:partition:guardduty:region:account_ID:detector/detector_ID
        AWS::IoT::Certificate
        arn:partition:iot:region:account_ID:cert/certificate_ID
        AWS::IoT::Thing
        arn:partition:iot:region:account_ID:thing/thing_ID
        AWS::IoTSiteWise::Asset
        arn:partition:iotsitewise:region:account_ID:asset/asset_ID
        AWS::IoTSiteWise::TimeSeries
        arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
        AWS::IoTTwinMaker::Entity
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
        AWS::IoTTwinMaker::Workspace
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
        AWS::KendraRanking::ExecutionPlan
        arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
        AWS::KinesisVideo::Stream
        arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
        AWS::ManagedBlockchain::Network
        arn:partition:managedblockchain:::networks/network_name
        AWS::ManagedBlockchain::Node
        arn:partition:managedblockchain:region:account_ID:nodes/node_ID
        AWS::MedicalImaging::Datastore
        arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
        AWS::NeptuneGraph::Graph
        arn:partition:neptune-graph:region:account_ID:graph/graph_ID
        AWS::PCAConnectorAD::Connector
        arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
        AWS::QApps:QApp
        arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
        AWS::QBusiness::Application
        arn:partition:qbusiness:region:account_ID:application/application_ID
        AWS::QBusiness::DataSource
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
        AWS::QBusiness::Index
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
        AWS::QBusiness::WebExperience
        arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
        AWS::RDS::DBCluster
        arn:partition:rds:region:account_ID:cluster/cluster_name

        AWS::S3::AccessPoint3

        arn:partition:s3:region:account_ID:accesspoint/access_point_name
        AWS::S3ObjectLambda::AccessPoint
        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
        AWS::S3Outposts::Object
        arn:partition:s3-outposts:region:account_ID:object_path
        AWS::SageMaker::Endpoint
        arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
        AWS::SageMaker::ExperimentTrialComponent
        arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
        AWS::SageMaker::FeatureGroup
        arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
        AWS::SCN::Instance
        arn:partition:scn:region:account_ID:instance/instance_ID
        AWS::ServiceDiscovery::Namespace
        arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
        AWS::ServiceDiscovery::Service
        arn:partition:servicediscovery:region:account_ID:service/service_ID
        AWS::SNS::PlatformEndpoint
        arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
        AWS::SNS::Topic
        arn:partition:sns:region:account_ID:topic_name
        AWS::SQS::Queue
        arn:partition:sqs:region:account_ID:queue_name
        AWS::SSM::ManagedNode

        ARN は次のいずれかの形式である必要があります。

        • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

        • arn:partition:ec2:region:account_ID:instance/instance_ID

        AWS::SSMMessages::ControlChannel
        arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
        AWS::SWF::Domain
        arn:partition:swf:region:account_ID:/domain/domain_name
        AWS::ThinClient::Device
        arn:partition:thinclient:region:account_ID:device/device_ID
        AWS::ThinClient::Environment
        arn:partition:thinclient:region:account_ID:environment/environment_ID
        AWS::Timestream::Database
        arn:partition:timestream:region:account_ID:database/database_name
        AWS::Timestream::Table
        arn:partition:timestream:region:account_ID:database/database_name/table/table_name
        AWS::VerifiedPermissions::PolicyStore
        arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

        1 ストリームが有効になっているテーブルの場合、データイベントの resources フィールドには AWS::DynamoDB::StreamAWS::DynamoDB::Table の両方が含まれます。resources.typeAWS::DynamoDB::Table を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベントを除外するにはeventNameフィールドにフィルターを追加します。

        2 特定の S3 バケット内のすべてのオブジェクトのすべてのデータイベントをログ記録するには、StartsWith 演算子を使用し、値の一致するバケット ARN のみを含めます。末尾のスラッシュは意図的です。除外しないでください。

        3 S3 アクセスポイントのすべてのオブジェクトでイベントをログ記録するには、アクセスポイント ARN のみを使用し、オブジェクトパスを含めず、StartsWith または NotStartsWith 演算子を使用することを推奨します。

      データイベントリソースの ARN 形式の詳細については、AWS Identity and Access Management ユーザーガイドの「アクション、リソース、条件キー」を参照してください。

    2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。たとえば、トレイルに記録されたデータイベントから 2 つの S3 バケットのデータイベントを除外するには、フィールドを Resources.arn に設定し、演算子を for not start with に設定してから S3 バケット ARN を貼り付けるか、イベントをログに記録しない S3 バケットを参照します。

      2 番目の S3 バケットを追加するには、[条件の追加] を選択した後に上記の手順を繰り返し、ARN に貼り付けるか、別のバケットをブラウズします。

      注記

      証跡上のすべてのセレクタに対して、最大 500 の値を設定できます。これには、eventName などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。

      アカウントに 15,000 個を超える Lambda 関数がある場合、 CloudTrail証跡を作成するときにコンソールですべての関数を表示または選択することはできません。表示されていない場合でも、事前定義済みのセレクタテンプレートを使用してすべての関数をログ記録できます。特定の関数のデータイベントをログ記録する場合、ARN が分かれば、関数を手動で追加することができます。コンソールでトレイルの作成を完了し、を使用して特定の Lambda 関数のデータイベントロギングを設定することもできます。 AWS CLI 詳細については、「によるデータイベントのロギング AWS Command Line Interface」を参照してください。

    3. [+ Field] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。例えば、あるセレクタで ARN を値と等しく指定せず、次に、別のセレクタで同じ値に等しくない ARN を指定します。

  8. データイベントをログに記録する別のデータタイプを追加するには、[Add data event type] を選択します。ステップ 4 からこのステップを繰り返し、データイベントタイプのアドバンストイベントセレクタを設定します。

  9. 選択内容をレビューして確認が完了したらしたら、[変更を保存] を選択します。

以下の手順で、基本的なイベントセレクターを使用してデータイベントをログに記録するために既存の証跡を更新します。

  1. AWS Management Console にサインインし、https://console.aws.amazon.com/cloudtrail/ CloudTrail のコンソールを開きます。

  2. CloudTrail コンソールの Trails ページを開き、トレイル名を選択します。

    注記

    既存の証跡を編集してデータイベントをログ記録することもできますが、ベストプラクティスとして、ログ記録データイベント専用に別の証跡を作成することを検討してください。

  3. [Data events] で、[編集] を選択します。

  4. Amazon S3 バケット:

    1. [Data source] で、[S3] を選択します。

    2. すべての現在および将来の S3 バケットを記録することを選択するか、バケットまたは関数を個々に指定することができます。デフォルトでは、現在および将来のすべての S3 バケットのデータイベントが記録されます。

      注記

      デフォルトの [All current and future S3 Buckets] オプションをそのまま使用すると、 AWS アカウントに現在あるすべてのバケット、および証跡の作成後に作成したすべてのバケットのデータイベントログが有効になります。また、別のアカウントに属するバケットでアクティビティが実行された場合でも、 AWS アカウント内の任意のユーザーまたはロールが実行したデータイベントアクティビティを記録できます。 AWS

      1 つのリージョンのトレイルを作成する場合(を使用 AWS CLI)、「アカウント内のすべての S3 バケットを選択」 オプションを選択すると、トレイルと同じリージョンのすべてのバケットと、そのリージョンで後で作成するバケットのデータイベントロギングが有効になります。 AWS アカウントの他のリージョンの Amazon S3 バケットのデータイベントは記録されません。

    3. デフォルトの [All current and future S3 buckets] で、[読み取り] イベント、[書き込み] イベント、またはその両方をログ記録することを選択します。

    4. 個々のバケットを選択するには、[All current and future S3 buckets] の [読み取り] および [書き込み] のチェックボックスをオフにします。[Individual bucket selection] で、データイベントをログ記録するバケットを参照します。特定のバケットを検索するには、目的のバケットのバケットプレフィックスを入力します。このウィンドウで、複数のバケットを選択できます。[Add bucket] を選択してより多くのバケットのデータイベントをログ記録します。[読み取り] イベント (例: GetObject) か、[書き込み] イベント (例: PutObject)、または両方を選択します。

      この設定は、個別のバケットに設定した個々の設定よりも優先されます。たとえば、すべての S3 バケットにログ記録 [読み取り] イベントを指定し、データイベントログ記録に特定のバケットの追加を選択した場合、追加したバケットには既に [読み取り] が設定されています。選択を解除することはできません。[書き込み] のオプションしか設定することができません。

      ログ記録からバケットを削除するには、[X] を選択します。

  5. データイベントをログに記録する別のデータタイプを追加するには、[Add data event type] を選択します。

  6. Lambda 関数の場合

    1. [Data source] で、[Lambda] を選択します。

    2. [Lambda 関数] で、[All regions] を選択してすべての Lambda 関数をログ記録するか、[Input function as ARN] を使用して、特定の関数のデータイベントをログ記録します。

      AWS アカウントのすべての Lambda 関数に対するデータイベントを記録するには、[現在および将来の関数をすべて記録する] を選択します。この設定は、関数に個々に設定した各設定よりも優先されます。すべての関数が表示されていなくても、関数はすべてログ記録されます。

      注記

      すべてのリージョンで証跡を作成している場合は、この選択によって、 AWS アカウントの現時点のすべての関数や、証跡作成後に任意のリージョンに作成する可能性のある Lambda 関数のデータイベントのログ記録が有効になります。1 つのリージョンの証跡を作成する場合(を使用 AWS CLI)、この選択により、 AWS アカウント内のそのリージョンに現在存在するすべての関数、および証跡の作成後にそのリージョンで作成する可能性のあるすべての Lambda 関数のデータイベントロギングが有効になります。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

      また、すべての関数のデータイベントをログに記録することで、アカウント内のユーザーまたはロールが実行したデータイベントのアクティビティを記録できるようになります。 AWS AWS そのアクティビティが別のアカウントに属する関数で実行された場合も同様です。

    3. [Input function as ARN] を選択した場合、Lambda 関数の ARN を入力します。

      注記

      アカウントに 15,000 個を超える Lambda 関数がある場合、 CloudTrail証跡を作成するときにコンソールですべての関数を表示または選択することはできません。表示されていない場合でも、すべての関数をログ記録するオプションを選択することができます。特定の関数のデータイベントをログ記録する場合、ARN が分かれば、関数を手動で追加することができます。コンソールでトレイルの作成を完了し、put-event-selectorsおよびコマンドを使用して特定の AWS CLI Lambda 関数のデータイベントロギングを設定することもできます。詳細については、「によるトレイルの管理 AWS CLI」を参照してください。

  7. データイベントをログに記録する別のデータタイプを追加するには、[Add data event type] を選択します。

  8. DynamoDB テーブルの場合

    1. [Data event source] で、[DynamoDB] を選択します。

    2. [DynamoDB table selection] で、[Browse] を選択してテーブルを選択するか、アクセス許可を持つ DynamoDB テーブルの ARN に貼り付けます。DynamoDB テーブルの ARN は次の形式です。

      arn:partition:dynamodb:region:account_ID:table/table_name

      別のテーブルを追加するには、[Add row] を選択し、テーブルを参照するか、アクセス許可のあるテーブルの ARN に貼り付けます。

  9. [変更を保存] を選択します。

例: Amazon S3 オブジェクトのデータイベントのログ記録

S3 バケットのすべての S3 オブジェクトに対するデータイベントのログ記録

次の例では、bucket-1 という名前の S3 バケットにすべてのデータイベントのログ記録を設定する時の、ログ記録のしくみを示します。この例では、 CloudTrail ユーザーは空のプレフィックスと、ReadWrite データイベントの両方を記録するオプションを指定しました。

  1. ユーザーがオブジェクトを bucket-1 にアップロードします。

  2. PutObject API オペレーションは Amazon S3 オブジェクトレベルの API です。この情報はデータイベントとして記録されます CloudTrail。 CloudTrail ユーザーはプレフィックスが空の S3 バケットを指定したため、そのバケット内の任意のオブジェクトで発生したイベントが記録されます。証跡はイベントを処理してログに記録します。

  3. 別のユーザーがオブジェクトを bucket-2 にアップロードします。

  4. 証跡またはイベントデータストアに指定されなかった S3 バケット内のオブジェクトで PutObject API オペレーションが発生しました。証跡またはイベントデータストアがイベントをログに記録しません。

特定の S3 オブジェクトのデータイベントをログに記録する

次の例では、証跡またはイベントデータストアを構成し、特定の S3 オブジェクトのイベントをログに記録する際に、ログ機能がどのように動作するかを示します。この例では、 CloudTrail ユーザーは bucket-3 という名前の S3 バケットに my-images というプレフィックスと、Write data イベントのみを記録するオプションを指定しました。

  1. ユーザーは、バケットの my-images プレフィックスで始まるオブジェクト (arn:aws:s3:::bucket-3/my-images/example.jpg など) を削除します。

  2. DeleteObject API オペレーションは Amazon S3 オブジェクトレベルの API です。これは Write data イベントとしてに記録されます。 CloudTrail証跡またはイベントデータストアで指定した S3 バケットとプレフィックスに一致するオブジェクトでイベントが発生しました。証跡またはイベントデータストアはイベントを処理してログに記録します。

  3. 別のユーザーが S3 バケットで異なるプレフィックスのオブジェクト (arn:aws:s3:::bucket-3/my-videos/example.avi など) を削除します。

  4. 証跡またはイベントデートストアで指定したプレフィックスに一致しないオブジェクトでイベントが発生しました。証跡またはイベントデータストアがイベントをログに記録しません。

  5. ユーザーはオブジェクト arn:aws:s3:::bucket-3/my-images/example.jpg に対して GetObject API オペレーションを呼び出します。

  6. 証跡またはイベントデータストアで指定したバケットとプレフィックスでイベントが発生しましたが、GetObject は読み取りタイプの Amazon S3 オブジェクトレベルの API です。に Read data イベントとして記録され CloudTrail、トレイルまたはイベントデータストアは Read イベントをログに記録するように設定されていません。証跡またはイベントデータストアがイベントをログに記録しません。

注記

特定の Amazon S3 バケットのデータイベントをログ記録する場合は、証跡のデータイベントセクションで指定したログファイルの受け取り用に、データイベントをログに記録する Amazon S3 バケットを使用しないことをお勧めします。同じ Amazon S3バケットを使用すると、証跡は、ログファイルが Amazon S3 バケットに配信されるたびにデータイベントをログに記録します。ログファイルは、間隔で配信される集約イベントのため、イベントとログファイルの比率は 1:1 になりません。イベントは、次回のログファイルに記録されます。たとえば、 CloudTrail ログを配信すると、PutObjectそのイベントは S3 バケットで発生します。S3 バケットがデータイベントセクションでも指定されていると、証跡は PutObject イベントをデータイベントとして処理して記録します。このアクションは別の PutObject イベントであり、証跡はイベントを再び処理して記録します。

アカウントのすべての Amazon S3 データイベントを記録するように証跡を設定する場合、ログファイルを受け取る Amazon S3 バケットのデータイベントを記録しないようにするには、 AWS AWS 別のアカウントに属する Amazon S3 バケットにログファイルを配信するように設定することを検討してください。詳細については、「 CloudTrail 複数のアカウントからのログファイルの受信」を参照してください。

AWS 他のアカウントの S3 オブジェクトのデータイベントのロギング

データイベントをログに記録するようにトレイルを設定すると、 AWS 他のアカウントに属する S3 オブジェクトを指定することもできます。指定したオブジェクトでイベントが発生すると、 CloudTrail そのイベントが各アカウントの記録と一致するかどうかを評価します。イベントが証跡の設定と一致する場合、証跡はそのアカウントのイベントを処理してログに記録します。一般的に、API の呼び出し元とリソース所有者の両方がイベントを受け取ることができます。

自分が所有する S3 オブジェクトを証跡で指定すると、自分のアカウントのオブジェクトで発生したイベントが証跡によって記録されます。オブジェクトを所有しているため、他のアカウントがオブジェクトを呼び出したときも証跡はイベントを記録します。

あるアカウントのユーザーが自分の証跡で S3 オブジェクトを指定し、別のアカウントがそのオブジェクトを所有している場合は、自分のアカウントのそのオブジェクトで発生したイベントのみが記録されます。他のアカウントで発生したイベントは記録されません。

例: 2 つの AWS アカウントの Amazon S3 オブジェクトのデータイベントのログ記録

次の例は、2 AWS つのアカウントが同じ S3 CloudTrail オブジェクトのイベントをログに記録するように設定する方法を示しています。

  1. ユーザー A は、owner-bucket という名前の S3 バケットのすべてのオブジェクトに対するデータイベントを記録します。A は S3 バケットと空のオブジェクトプレフィックスを指定して証跡を設定します。

  2. ユーザー B は、S3 バケットへのアクセスを許可されている別のアカウントを持っています。B も、同じ S3 バケット内のすべてのオブジェクトのデータイベントを記録しようとします。B は、自分の証跡を設定し、同じ S3 バケットと空のオブジェクトプレフィックスを指定します。

  3. B は、PutObject API オペレーションで S3 バケットにオブジェクトをアップロードします。

  4. このイベントは、B のアカウントで発生し、B の証跡の設定に一致します。B の証跡はイベントを処理してログに記録します。

  5. ユーザー A は S3 バケットを所有しており、イベントは A の証跡の設定と一致するので、A の証跡も同じイベントを処理して記録します。これで、イベントのコピーが 2 つ (1 つは Bob's Trail に記録され、もう 1 つは自分の記録に記録された) ので、データイベントのコピーは 2 CloudTrail つ分課金されます。

  6. A が S3 バケットにオブジェクトをアップロードします。

  7. このイベントは A のアカウントで発生し、A の証跡の設定と一致します。A の証跡はイベントを処理してログに記録します。

  8. イベントは Bob のアカウントでは発生しておらず、Bob は S3 バケットを所有していないため、Bob's Trail ではイベントは記録されません。 CloudTrail このデータイベントの 1 つのコピーに対してのみ課金されます。

例:2 AWS つのアカウントが使用する S3 バケットを含む、すべてのバケットのデータイベントのロギング

次の例は、アカウント内のデータイベントを収集するトレイルで [アカウントの S3 バケットをすべて選択] が有効になっている場合のロギング動作を示しています。 AWS

  1. ユーザー A は、アカウントですべての S3 バケットに対するデータイベントを記録します。証跡を設定するには、[読み取り] イベント、[書き込み] イベント、または両方の [データイベント] の [All current and future S3 buckets] を選択します。

  2. ユーザー B は、アカウントの S3 バケットへのアクセスを許可されている別のアカウントを持っています。B は、B がアクセス権を持っているバケットのデータイベントを記録します。B は、すべての S3 バケットのデータイベントを取得するように証跡を設定します。

  3. B は、PutObject API オペレーションで S3 バケットにオブジェクトをアップロードします。

  4. このイベントは、B のアカウントで発生し、B の証跡の設定に一致します。B の証跡はイベントを処理してログに記録します。

  5. ユーザー A は S3 バケットを所有しており、イベントは A の証跡の設定と一致するので、A の証跡もそのイベントを処理して記録します。これで、イベントのコピーが 2 つ(1 つは Bob's Trail に、もう 1 つは自分のトレイルにログインした)ため、 CloudTrail 各アカウントにデータイベントのコピーの料金を請求します。

  6. A が S3 バケットにオブジェクトをアップロードします。

  7. このイベントは A のアカウントで発生し、A の証跡の設定と一致します。A の証跡はイベントを処理してログに記録します。

  8. イベントは Bob のアカウントでは発生しておらず、Bob は S3 バケットを所有していないため、Bob's Trail ではイベントは記録されません。 CloudTrail アカウント内のこのデータイベントのコピーは 1 つ分のみ課金されます。

  9. 3 番目のユーザー C は S3 バケットへのアクセス権を持ち、そのバケットで GetObject オペレーションを実行します。C は自分のアカウントのすべての S3 バケットでデータイベントを記録するように証跡を設定しています。彼女は API 呼び出し側なので、 CloudTrail データイベントを自分のトレイルに記録します。B はバケットへのアクセス権を持っていますが、リソース所有者ではないため、今回は B の証跡にイベントは記録されません。リソースオーナーは、Mary GetObject が呼び出した操作に関するイベントをトレイルで受信します。 CloudTrailデータイベントのコピーごとに、自分のアカウントと Mary のアカウントに請求します。1 つは Mary のトレイル、もう 1 つは自分のトレイルにあります。

読み取り専用イベントと書き込み専用イベント

データイベントと管理イベントをログに記録するように証跡またはイベントデータストアを設定するときは、読み取り専用イベントまたは書き込み専用イベントのどちらか一方のみまたは両方を指定できます。

  • 読み取り

    [読み取り] イベントには、リソースの読み取りのみ行い、変更を行わない API オペレーションが含まれます。例えば、Amazon EC2 の DescribeSecurityGroups および DescribeSubnets API オペレーションは読み取り専用イベントです。これらのオペレーションは、Amazon EC2 リソースに関する情報のみを返し、設定は変更しません。

  • 書き込み

    [Write] イベントには、リソースを変更する (または変更する可能性がある) API オペレーションが含まれます。例えば、Amazon EC2 の RunInstances および TerminateInstances API オペレーションはインスタンスを変更します。

例: 読み取りイベントと書き込みイベントを別の証跡に記録する

次の例では、アカウントに対するログアクティビティを異なる S3 バケットに分けるように証跡を設定する方法を示します。1 つのバケットは読み取り専用イベントを受け取り、もう 1 つのバケットは書き込み専用イベントを受け取ります。

  1. 証跡を作成し、ログファイルを受け取る read-only-bucket という名前の S3 バケットを選択します。次に、証跡を更新し、[読み取り] の管理イベントとデータイベントを記録するように指定します。

  2. 第 2 の証跡を作成し、ログファイルを受け取る write-only-bucket という名前の S3 バケットを選択します。次に、証跡を更新し、[Write] の管理イベントとデータイベントを記録するように指定します。

  3. Amazon EC2 の DescribeInstances および TerminateInstances API オペレーションがアカウントで発生します。

  4. DescribeInstances API オペレーションは読み取り専用イベントであり、1 番目の証跡の設定と一致します。証跡は、イベントをログに記録して read-only-bucket に配信します。

  5. TerminateInstances API オペレーションは書き込み専用イベントであり、2 番目の証跡の設定と一致します。証跡は、イベントをログに記録して write-only-bucket に配信します。

によるデータイベントのロギング AWS Command Line Interface

AWS CLIを使用して、データイベントのログを記録するように証跡を設定できます。

を使用してトレイルのデータイベントをロギングする AWS CLI

AWS CLIを使用して、管理イベントとデータイベントのログを記録するように証跡を設定できます。証跡が管理イベントとデータイベントをログに記録しているかどうかを確認するには、get-event-selectors コマンドを実行します。

注記
  • アカウントが管理イベントのコピーを複数記録している場合は、料金が発生することに注意してください。データイベントのログ記録には常に料金が発生します。詳細については、「AWS CloudTrail の料金」を参照してください。

  • 高度なイベントセレクターまたは基本的なイベントセレクターのいずれかを使用できますが、両方を使用することはできません。高度なイベントセレクターを証跡に適用すると、既存の基本的なイベントセレクターは上書きされます。

  • 証跡で基本イベントセレクターを使用している場合、ログ記録できるのは以下のリソースタイプのみです。

    • AWS::DynamoDB::Table

    • AWS::Lambda::Function

    • AWS::S3::Object

    この他のリソースタイプをログ記録するには、高度なイベントセレクタを使用します。証跡で高度なイベントセレクターが使用されるようにするには、get-event-selectors コマンドを実行して現在のイベントセレクターを確認し、以前のイベントセレクターの対象範囲と一致するように高度なイベントセレクターを設定してから、そのセレクターをデータイベントをログ記録したい任意のリソースタイプに追加します。

  • 高度なイベントセレクターを使用すると eventNameresources.ARN、および readOnly フィールドの値に基づくフィルタリングが実行できるため、関心のあるデータイベントのみをログ記録できるようになります。これらのフィールドの設定については、「AdvancedFieldSelector」を参照してください。

aws cloudtrail get-event-selectors --trail-name TrailName

コマンドは、証跡のデフォルト設定が返されます。

アドバンストイベントセレクタを使用してイベントをログに記録する

注記

高度なイベントセレクターを証跡に適用すると、既存の基本的なイベントセレクターは上書きされます。高度なイベントセレクターを設定する前に、get-event-selectors コマンドを実行して現在のイベントセレクターを確認してから、以前のイベントセレクターの対象範囲と一致するように高度なイベントセレクターを設定し、そのセレクターをログ記録を行いたい追加のデータイベントのいずれかに追加します。

次の例では、読み取り/書き込み管理イベント(セレクターを省略)TrailNamereadOnlyを含むようにトレイルという名前のカスタムアドバンスイベントセレクターを作成し、PutObjectDeleteObjectsample_bucket_nameという名前のバケットとという名前の関数のデータイベントを除くすべての Amazon S3 バケット/プレフィックスの組み合わせのデータイベントを作成します。 AWS Lambda MyLambdaFunctionこれらはカスタムアドバンストイベントセレクタであるため、セレクタの各セットにはわかりやすい名前をつけます。末尾のスラッシュは S3 バケットの ARN 値の一部であることに注意してください。

aws cloudtrail put-event-selectors --trail-name TrailName --advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::sample_bucket_name/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] } ] } ]'

例は、証跡用に設定されたアドバンストイベントセレクタを返します。

{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "NotStartsWith": [ "arn:aws:s3:::sample_bucket_name/" ] }, ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ] }, { "Field": "eventName", "Equals": [ "Invoke" ] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }

高度なイベントセレクターを使用して、Amazon S3 バケットのすべての Amazon S3 イベントをログに記録します。

注記

高度なイベントセレクターを証跡に適用すると、既存の基本的なイベントセレクターは上書きされます。

次の例では、特定の S3 バケットのすべての Amazon S3 オブジェクトのデータイベントをログ含めるように証跡を設定する方法を示します。resources.type の S3 イベントの値フィールドは AWS::S3::Object です。S3 オブジェクトと S3 バケットの ARN 値はわずかに異なるため、resources.ARNStartsWith 演算子を追加してすべてのイベントをキャプチャする必要があります。

aws cloudtrail put-event-selectors --trail-name TrailName --region region \ --advanced-event-selectors \ '[ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::bucket_name/"] } ] } ]'

コマンドは、次の出力例を返します。

{ "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:partition:s3:::bucket_name/" ] } ] } ] }

アドバンストイベントセレクタを使用して AWS Outposts イベントの Amazon S3 をログに記録する

注記

高度なイベントセレクターを証跡に適用すると、既存の基本的なイベントセレクターは上書きされます。

次の例では、アウトポストの Outopost オブジェクト上のすべての Amazon S3 のすべてのデータイベントを含めるよう、証跡を設定する方法を示します。

aws cloudtrail put-event-selectors --trail-name TrailName --region region \ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'

コマンドは、次の出力例を返します。

{ "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ] }

基本的なイベントセレクタを使用してイベントをログに記録する

以下に、基本的なイベントセレクタを示す get-event-selectors コマンドの結果の例を示します。デフォルトでは、を使用して証跡を作成すると AWS CLI、記録にはすべての管理イベントが記録されます。デフォルトでは、証跡はデータイベントを記録しません。

{ "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName", "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ] }

管理イベントとデータイベントをログに記録するように証跡を設定するには、put-event-selectors コマンドを実行します。

次の例は、基本のイベントセレクターを使用して、すべての管理イベントと S3 オブジェクトのデータイベントを、2 つの S3 バケットのプレフィクスに含めるよう、証跡を設定する方法について示したものです。1 つの証跡に 1~5 個のイベントセレクタを指定できます。1 つの証跡に 1~250 個のデータリソースを指定できます。

注記

基本イベントセレクタを使用してデータイベントを制限する場合は、S3 データリソースの最大数は 250 個です。

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2"] }] }]'

このコマンドは、証跡に対して設定されているイベントセレクタを返します。

{ "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName", "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2", ], "Type": "AWS::S3::Object" } ], "ReadWriteType": "All" } ] }

を使用して、イベントデータストアのデータイベントをロギングします。 AWS CLI

AWS CLIを使用して、データイベントを記録するようにイベントデータストアを設定できます。create-event-data-store コマンドを使用して、データイベントをログに記録する新しいイベントデータストアを作成します。update-event-data-store コマンドを使用して、既存のイベントデータストアに関する高度イベントセレクターを更新します。

イベントデータストアにデータイベントが含まれているかどうかを確認するには、get-event-data-store コマンドを実行します。

aws cloudtrail get-event-data-store --event-data-store EventDataStoreARN

コマンドは、イベントデータストアの設定を返します。

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE6441aa", "Name": "ebs-data-events", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Log all EBS direct APIs on EBS snapshots", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::EC2::Snapshot" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00", "UpdatedTimestamp": "2023-11-20T20:37:34.228000+00:00" }

バケットのすべての Amazon S3 イベントを含める

次の例では、特定の S3 バケットのすべての Amazon S3 オブジェクトのデータイベントをログ含めるようにイベントデータストアを作成する方法を示します。resources.type の S3 イベントの値フィールドは AWS::S3::Object です。S3 オブジェクトと S3 バケットの ARN 値はわずかに異なるため、resources.ARNStartsWith 演算子を追加してすべてのイベントをキャプチャする必要があります。

aws cloudtrail create-event-data-store --name "EventDataStoreName" --multi-region-enabled \ --advanced-event-selectors \ '[ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::bucket_name/"] } ] } ]'

コマンドは、次の出力例を返します。

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa", "Name": "EventDataStoreName", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:partition:s3:::bucket_name/" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00", "UpdatedTimestamp": "2023-11-20T20:49:21.766000+00:00" }

Amazon S3 on AWS Outposts イベントを含める

次の例では、アウトポストの Outopost オブジェクト上のすべての Amazon S3 のすべてのデータイベントを含めるよう、イベントデータストアを作成する方法を示します。

aws cloudtrail create-event-data-store --name EventDataStoreName \ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'

コマンドは、次の出力例を返します。

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-02-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2023-02-20T21:00:17.820000+00:00" }

AWS Config コンプライアンスのデータイベントをログに記録する

企業が連邦リスク・承認管理プログラム(FedRAMP)や米国国立標準技術研究所(NIST) AWS Config で義務付けられているような正式な標準への準拠を維持するためにコンフォーマンスパックを使用している場合、コンプライアンスフレームワーク用のコンフォーマンスパックでは、通常、少なくとも Amazon S3 バケットのデータイベントをログに記録する必要があります。コンプライアンスフレームワークの適合パックには、アカウントの S3 データイベントのログ記録をチェックする、cloudtrail-s3-dataevents-enabled と呼ばれるマネージドルールが含まれます。コンプライアンスフレームワークに関連付けられていない多くの適合パックも、S3 データイベントログ記録を必要とします。次に、このルールを含む適合パックの例を示します。

で利用できるサンプルコンフォーマンスパックの全リストについては AWS Config、『開発者ガイド』の「コンフォーマンスパックのサンプルテンプレート」を参照してください。AWS Config

SDK によるデータイベントのロギング AWS

GetEventSelectors操作を実行して、トレイルがデータイベントを記録しているかどうかを確認します。PutEventSelectorsオペレーションを実行することで、データイベントをログに記録するようにトレイルを設定できます。詳細については、「 APIリファレンスAWS CloudTrail」を参照してください。

GetEventDataStore操作を実行して、イベントデータストアがデータイベントを記録しているかどうかを確認します。CreateEventDataStoreUpdateEventDataStoreまたは操作を実行して高度なイベントセレクターを指定することで、データイベントを含むようにイベントデータストアを構成できます。詳細については、「を使用して、イベントデータストアを作成、更新、管理します AWS CLI」および AWS CloudTrail API リファレンスを参照してください。

Amazon CloudWatch ログにイベントを送信する

CloudTrail CloudWatch Logs へのデータイベントの送信をサポートします。 CloudWatch Logs ロググループにイベントを送信するようにトレイルを設定すると、 CloudTrail トレイルで指定したイベントのみが送信されます。たとえば、データイベントのみをログに記録するようにトレイルを設定した場合、 CloudWatch トレイルはデータイベントをログロググループにのみ配信します。詳細については、「Amazon CloudTrail CloudWatch ログによるログファイルのモニタリング」を参照してください。