翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
管理イベントのログ記録
デフォルトでは、証跡とイベントデータストアは管理イベントをログ記録し、データイベントや Insights イベントは記録しません。
データイベントや Insights イベントには追加料金が適用されます。詳細については、「AWS CloudTrailの料金
目次
管理イベント
管理イベントでは、AWS アカウントのリソースで実行される管理オペレーションについて知ることができます。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。管理イベントには、次のようなものがあります。
-
セキュリティの設定 (例: IAM
AttachRolePolicyAPI オペレーション)。 -
デバイスの登録 (例: Amazon EC2
CreateDefaultVpcAPI オペレーション)。 -
データをルーティングするルールの設定 (例: Amazon EC2
CreateSubnetAPI オペレーション)。 -
ログ記録の設定 (例: AWS CloudTrail
CreateTrailAPI オペレーション)
管理イベントは、アカウントで発生する非 API イベントを含む場合もあります。例えば、ユーザーがアカウントにログインすると、 は ConsoleLoginイベントを CloudTrail ログに記録します。詳細については、「CloudTrail によってキャプチャされる API 以外のイベント」を参照してください。
デフォルトでは、証跡とイベントデータストアは管理イベントをログに記録するように設定されます。
注記
CloudTrail イベント履歴機能は、 管理イベントのみをサポートします。[イベント履歴] から AWS KMS または Amazon RDS Data API イベントを除外することはできません。証跡またはイベントデータストアに適用する設定は [イベント履歴] には適用されません。詳細については、「 CloudTrail イベント履歴の操作」を参照してください。
AWS Management Console での管理イベントのログ記録
-
にサインインAWS Management Consoleし、https://console.aws.amazon.com/cloudtrail/
で CloudTrail コンソールを開きます。 -
証跡を更新するには、 CloudTrail コンソールの証跡ページを開き、証跡名を選択します。
イベントデータストアを更新するには、 CloudTrail コンソールのイベントデータストアページを開き、イベントデータストア名を選択します。
-
[Management events] (管理イベント) で、[Edit] (編集) を選択します。
-
証跡またはイベントデータストアで記録する対象を [読み取り] イベント、[書き込み] イベント、またはその両方を選択します。
-
[AWS KMS イベントを除外する] を選択して AWS Key Management Service (AWS KMS) イベントを、証跡またはイベントデータストアから除外します。デフォルト設定では、すべての AWS KMS イベントが含まれています。
AWS KMS イベントをログまたは除外するオプションは、証跡またはイベントデータストアの管理イベントをログに記録する場合にのみ使用できます。管理イベントをログに記録しないように選択した場合は、AWS KMS イベントはログに記録されず、AWS KMS イベントログ設定は変更できません。
通常、
Encrypt、Decrypt、GenerateDataKeyなどの AWS KMS アクションは、大容量イベント (99% 以上) を生成します。これらのアクションは、[読み取り] イベントとしてログに記録されるようになりました。Disable、Delete、およびScheduleKeyなどの小容量の関連する AWS KMS アクション (通常、AWS KMS イベントボリュームの 0.5% 未満を占める) は、[Write] (書き込み) イベントとしてログに記録されます。Encrypt、Decrypt、GenerateDataKeyのようなボリュームの大きなイベントを除外し、Disable、Delete、ScheduleKeyなどの関連イベントを記録する場合は、[書き込み] 管理イベントを記録することを選択し、[Exclude AWS KMS events] チェックボックスをオフにします。 -
[Amazon RDS Data API イベントを除外する] を選択して、証跡またはイベントデータストアから Amazon Relational Database Service データ API イベントを除外できます。デフォルト設定では、すべての Amazon RDS Data API イベントが含まれています。Amazon RDS Data API イベントの詳細については、「Aurora の Amazon RDS Amazon RDS ユーザーガイド」の「AWS CloudTrail による Data API コールのログ記録」を参照してください。
-
-
完了したら、[Save changes] (変更の保存) を選択します。
読み取りおよび書き込みイベント
管理イベントをログに記録するように証跡またはイベントデータストアを設定するときは、読み取り専用イベントまたは書き込み専用イベントのどちらか一方のみまたは両方を指定できます。
-
読み込み
読み取り専用イベントには、リソースの読み取りのみ行い、変更を行わない API オペレーションが含まれます。例えば、Amazon EC2 の
DescribeSecurityGroupsおよびDescribeSubnetsAPI オペレーションは読み取り専用イベントです。これらのオペレーションは、Amazon EC2 リソースに関する情報のみを返し、設定は変更しません。 -
書き込み
書き込み専用イベントには、リソースを変更する (または変更する可能性がある) API オペレーションが含まれます。例えば、Amazon EC2 の
RunInstancesおよびTerminateInstancesAPI オペレーションはインスタンスを変更します。
例: 読み取りイベントと書き込みイベントを別の証跡に記録する
次の例では、アカウントに対するログアクティビティを異なる S3 バケットに分けるように証跡を設定する方法を示します。1 つのバケットは読み取り専用イベントを受け取り、もう 1 つのバケットは書き込み専用イベントを受け取ります。
-
証跡を作成し、ログファイルを受け取る
read-only-bucketという名前の S3 バケットを選択します。次に、証跡を更新し、[読み取り] 管理イベントを記録するように指定します。 -
第 2 の証跡を作成し、ログファイルを受け取る
write-only-bucketという名前の S3 バケットを選択します。次に、証跡を更新し、書き込み管理イベントを記録するように指定します。 -
Amazon EC2 の
DescribeInstancesおよびTerminateInstancesAPI オペレーションがアカウントで発生します。 -
DescribeInstancesAPI オペレーションは読み取り専用イベントであり、1 番目の証跡の設定と一致します。証跡は、イベントをログに記録してread-only-bucketに配信します。 -
TerminateInstancesAPI オペレーションは書き込み専用イベントであり、2 番目の証跡の設定と一致します。証跡は、イベントをログに記録してwrite-only-bucketに配信します。
AWS Command Line Interface を使用してイベントのログを記録する
AWS CLI を使用して、管理イベントのログを記録するように証跡またはイベントデータストアを設定できます。
例:証跡での管理イベントの記録
証跡が管理イベントをログに記録しているかどうかを確認するには、get-event-selectors コマンドを実行します。
aws cloudtrail get-event-selectors --trail-nameTrailName
次の例では、証跡のデフォルト設定が返されます。デフォルトでは、証跡はすべての管理イベントをログに記録して、すべてのイベントソースからイベントをログに記録し、データイベントはログに記録しません。
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ] }
基本イベントセレクタまたはアドバンストイベントセレクタを使用して、管理イベントをログに記録できます。イベントセレクタと高度なイベントセレクタの両方を証跡に適用することはできません。高度なイベントセレクターを証跡に適用すると、既存の基本的なイベントセレクターは上書きされます。以下のセクションでは、高度なイベントセレクタと基本的なイベントセレクタを使用して管理イベントをログに記録する方法の例を示します。
例: アドバンストイベントセレクタを使用した証跡の管理イベントのログ記録
次の例では、 という名前の証跡のアドバンストイベントセレクタを作成しTrailName、読み取り専用管理イベントと書き込み専用管理イベント ( readOnlyセレクタを省略) を含めますが、 AWS Key Management Service (AWS KMS) イベントを除外します。AWS KMS イベントは管理イベントとして扱われ、イベントは大量に存在する可能性があるため、管理イベントをキャプチャする証跡が複数ある場合、 CloudTrail 請求に大きな影響を与える可能性があります。
管理イベントをログに記録しないように選択した場合は、AWS KMS イベントはログに記録されず、AWS KMS イベントログ設定は変更できません。
AWS KMS イベントの証跡へのログ記録を再開するには、eventSource セレクタを削除し、コマンドを再度実行します。
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
例は、証跡用に設定されたアドバンストイベントセレクタを返します。
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
除外されたイベントの証跡へのログ記録を再開するには、次のコマンドに示されるように、eventSource セレクタを削除します。
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
次の例では、 という名前の証跡のアドバンストイベントセレクタを作成しTrailName、読み取り専用管理イベントと書き込み専用管理イベントを含め ( readOnlyセレクタを省略して)、Amazon RDS Data API 管理イベントを除外します。Amazon RDS Data API 管理イベントを除外するには、eventSourceフィールド の文字列値に Amazon RDS Data API イベントソースを指定しますrdsdata.amazonaws.com。
管理イベントをログ記録しないことを選択した場合、Amazon RDS Data API 管理イベントはログに記録されず、Amazon RDS Data API イベントログ記録設定を変更することはできません。
Amazon RDS Data API 管理イベントの証跡へのログ記録を再び開始するには、 eventSourceセレクタを削除し、 コマンドを再度実行します。
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
例は、証跡用に設定されたアドバンストイベントセレクタを返します。
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
除外されたイベントの証跡へのログ記録を再開するには、次のコマンドに示されるように、eventSource セレクタを削除します。
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
例: 基本的なイベントセレクタを使用した証跡の管理イベントのログ記録
管理イベントをログに記録するように証跡を設定するには、put-event-selectors コマンドを実行します。次の例では、2 つの S3 オブジェクトに対するすべての管理イベントを含めるように証跡を設定する方法を示します。1 つの証跡に 1~5 個のイベントセレクタを指定できます。1 つの証跡に 1~250 個のデータリソースを指定できます。
注記
イベントセレクタの数にかかわらず、S3 データリソースの最大数は 250 個です。
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2"] }] }]'
次の例は、証跡に対して設定されているイベントセレクタを返します。
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [ { "Type": "AWS::S3::Object", "Values": [ "arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2", ] } ], "ExcludeManagementEventSources": [] } ] }
証跡のログから AWS Key Management Service (AWS KMS) イベントを除外するには、put-event-selectors コマンドを実行し、値が kms.amazonaws.com の属性 ExcludeManagementEventSources を追加します。次の例では、 という名前の証跡のイベントセレクタを作成しTrailName、読み取り専用管理イベントと書き込み専用管理イベントを含めますが、AWS KMSイベントを除外します。AWS KMS では大量のイベントが生成される場合があるため、この例のユーザーは、証跡のコストを管理するためにイベントを制限できます。
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'
例では、証跡に対して設定されているイベントセレクタを返します。
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "kms.amazonaws.com" ] } ] }
証跡のログから Amazon RDS Data API 管理イベントを除外するには、 put-event-selectors コマンドを実行し、ExcludeManagementEventSources値が の 属性を追加しますrdsdata.amazonaws.com。次の例では、 という名前の証跡のイベントセレクタを作成して、読み取り専用管理イベントと書き込み専用管理イベントを含めますが、Amazon RDS Data API 管理イベントを除外TrailNameします。Amazon RDS Data API は大量の管理イベントを生成できるため、この例のユーザーは証跡のコストを管理するためにイベントを制限できます。
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ] } ] }
証跡へのログ記録AWS KMSまたは Amazon RDS Data API 管理イベントを再度開始するには、次のコマンドに示すようにExcludeManagementEventSources、空の文字列を の値として渡します。
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
Disable、Delete、ScheduleKey などの関連 AWS KMS イベントを証跡に記録するが、Encrypt、Decrypt、GenerateDataKey などの大容量 AWS KMS イベントを除外するには、次の例に示すように、書き込み専用管理イベントをログに記録し、デフォルト設定のまま AWS KMS イベントをログに記録します。
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
例: イベントデータストアの管理イベントのログ記録
イベントデータストアに管理イベントが含まれているかどうかを確認するには、get-event-data-store コマンドを実行します。
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
以下に、応答の例を示します。作成時刻と最終更新時刻は timestamp 形式です。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "myManagementEvents", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00", "UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00" }
すべての管理イベントを含むイベントデータストアを作成するには、create-event-data-store コマンドを実行します。すべての管理イベントを含めるには、高度イベント セレクタを指定する必要はありません。
aws cloudtrail create-event-data-store --name my-event-data-store --retention-period 90\
以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00", "UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00" }
AWS Key Management Service (AWS KMS) イベントを除外するイベントデータ ストアを作成するには、create-event-data-store コマンドを実行し、eventSource が kms.amazonaws.com と等しくないことを指定します。次の例では、読み取り専用管理イベントと書き込み専用管理イベントを含むが、AWS KMSイベントを除外するイベントデータストアを作成します。
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]} ] } ]'
以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }
Amazon RDS Data API 管理イベントを除外するイベントデータストアを作成するには、 create-event-data-store コマンドを実行し、 eventSourceが と等しくない を指定しますrdsdata.amazonaws.com。次の例では、読み取り専用管理イベントと書き込み専用管理イベントを含むが、Amazon RDS Data API イベントを除外するイベントデータストアを作成します。
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]} ] } ]'
以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }
AWS SDK を使用してイベントのログを記録する
GetEventSelectors オペレーションを使用して、証跡が証跡の管理イベントを記録しているかどうか確認します。PutEventSelectors オペレーションを使用して管理イベントを記録するように証跡を設定できます。詳細については、「AWS CloudTrail APIリファレンス」を参照してください。
GetEventDataStore オペレーションを実行して、イベントデータストアに管理イベントが含まれているかどうかを確認します。CreateEventDataStore または UpdateEventDataStoreオペレーションを実行して、管理イベントを含めるようにイベントデータストアを設定できます。詳細については、「AWS CLI を使用した CloudTrail Lake の管理」および AWS CloudTrail API リファレンスを参照してください。
Amazon CloudWatch Logs へのイベントの送信
証跡の場合、 は CloudWatch ログへのデータと管理イベントの送信 CloudTrail をサポートします。 CloudWatch Logs ロググループにイベントを送信するように証跡を設定すると、 は証跡で指定したイベントのみ CloudTrail を送信します。例えば、管理イベントのみをログに記録するように証跡を設定すると、証跡は管理イベントのみを CloudWatch Logs ロググループに配信します。詳細については、「Amazon CloudWatch Logs による CloudTrail ログファイルをモニタリングする」を参照してください。
