CloudWatch ログへのイベントの送信 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudWatch ログへのイベントの送信

ログにイベントを送信するように証跡を設定すると、 CloudWatch CloudTrail は証跡設定に一致するイベントのみを送信します。例えば、データイベントのみをログに記録するように証跡を設定すると、証跡はデータイベントのみを Logs CloudWatch ロググループに送信します。 は、データ、インサイト、管理イベントを CloudWatch Logs に送信すること CloudTrail をサポートします。詳細については、「 CloudTrail ログファイルの使用」を参照してください。

注記

管理アカウントのみが、 コンソールを使用して組織の証跡の CloudWatch ロググループを設定できます。委任管理者は、 AWS CLI または CloudTrail CreateTrail オペレーション、または UpdateTrailAPIオペレーションを使用して Logs CloudWatch ロググループを設定できます。

Logs CloudWatch ロググループにイベントを送信するには:

  • IAM ロールを作成または指定するのに十分なアクセス許可があることを確認してください。詳細については、「 CloudTrail コンソールで Amazon CloudWatch Logs 情報を表示および設定するアクセス許可の付与」を参照してください。

  • を使用して CloudWatch Logs ロググループを設定する場合は AWS CLI、指定したロググループに CloudWatch Logs ログストリームを作成し、そのログストリームに CloudTrail イベントを配信するための十分なアクセス許可があることを確認してください。詳細については、「ポリシードキュメントを作成する」を参照してください。

  • 新しい証跡を作成するか、既存の証跡を指定します。詳細については、「コンソールで証跡を作成および更新する」を参照してください。

  • ロググループを作成するか、既存のロググループを指定します。

  • IAM ロールを指定します。組織の証跡の既存のIAMロールを変更する場合は、組織の証跡のログ記録を許可するようにポリシーを手動で更新する必要があります。詳細については、このポリシー例と「組織の証跡の作成」を参照してください。

  • ロールポリシーをアタッチするか、デフォルトを使用します。

コンソールを使用した CloudWatch ログモニタリングの設定

を使用して AWS Management Console 、モニタリングのためにイベントを CloudWatch Logs に送信するように証跡を設定できます。

ロググループを作成するか、既存のロググループを指定する

CloudTrail は、 CloudWatch ログイベントの配信エンドポイントとして Logs ロググループを使用します。ユーザーは、ロググループを作成するか、既存のロググループを指定することができます。

ロググループを作成または既存のロググループを指定するには
  1. CloudWatch Logs 統合を設定するのに十分なアクセス許可を持つ管理ユーザーまたはロールでログインしていることを確認してください。詳細については、「 CloudTrail コンソールで Amazon CloudWatch Logs 情報を表示および設定するアクセス許可の付与」を参照してください。

    注記

    管理アカウントのみが、 コンソールを使用して組織の証跡の CloudWatch ロググループを設定できます。委任管理者は、 AWS CLI または CloudTrail CreateTrail オペレーション、または UpdateTrailAPIオペレーションを使用して Logs CloudWatch ロググループを設定できます。

  2. で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/

  3. 証跡名を選択します。すべてのリージョンに適用される証跡を選択した場合は、その証跡の作成元のリージョンにリダイレクトされます。ロググループを作成することもできますし、証跡と同じリージョン内の既存のロググループを選択することもできます。

    注記

    すべてのリージョンに適用される証跡は、すべてのリージョンから指定した CloudWatch ロググループにログファイルを送信します。

  4. CloudWatch ログ で編集 を選択します。

  5. CloudWatch ログ で有効 を選択します。

  6. [ロググループ名] で、[新規] を選択して新しいロググループを作成するか、[既存] を選択して既存のロググループを使用します。新しい を選択した場合、 は新しいロググループの名前 CloudTrail を指定するか、名前を入力できます。命名の詳細については、「CloudWatch のロググループとログストリームの命名 CloudTrail」を参照してください。

  7. [Existing] を選択した場合、ドロップダウンリストからロググループを選択します。

  8. ロール名 で、新規 を選択して、ログを CloudWatch ログに送信するアクセス許可の新しいIAMロールを作成します。既存の を選択して、ドロップダウンリストから既存のIAMロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、[ポリシードキュメント] を展開すると表示されます。このロールの詳細については、「が CloudWatch ログ CloudTrail をモニタリングに使用するロールポリシードキュメント」を参照してください。

    注記

    証跡を設定するときは、別のアカウントに属する S3 バケットとSNSトピックを選択できます。ただし、イベント CloudTrail を Logs CloudWatch ロググループに配信する場合は、現在のアカウントに存在するロググループを選択する必要があります。

  9. [変更の保存] を選択します。

IAM ロールを指定する

がログストリーム CloudTrail にイベントを配信するために引き受けるロールを指定できます。

ロールを指定するには
  1. デフォルトでは、CloudTrail_CloudWatchLogs_Role が指定されます。デフォルトのロールポリシーには、指定したロググループに CloudWatch ログログストリームを作成し、そのログストリームに CloudTrail イベントを配信するために必要なアクセス許可があります。

    注記

    組織の証跡のロググループにこのロールを使用する場合は、ロールを作成した後に手動でポリシーを変更する必要があります。詳細については、このポリシー例と「組織の証跡の作成」を参照してください。

    1. ロールを確認するには、 の AWS Identity and Access Management コンソールに移動しますhttps://console.aws.amazon.com/iam/

    2. ロール を選択し、CloudTrail_CloudWatchLogs_Role を選択します。

    3. [アクセス許可] タブからポリシーを展開して、その内容が表示されます。

  2. 別のロールを指定できますが、必要なロールポリシーを使用して CloudWatch ログにイベントを送信する場合は、既存のロールにアタッチする必要があります。詳細については、「が CloudWatch ログ CloudTrail をモニタリングに使用するロールポリシードキュメント」を参照してください。

CloudWatch コンソールでのイベントの表示

Logs CloudWatch ロググループにイベントを送信するように証跡を設定した後、 CloudWatch コンソールでイベントを表示できます。 CloudTrail 通常、 は API呼び出しから平均 5 分以内にロググループにイベントを配信します。この時間は保証されません。詳細については、「AWS CloudTrail サービスレベルアグリーメント」をご覧ください。

CloudWatch コンソールでイベントを表示するには
  1. で CloudWatch コンソールを開きますhttps://console.aws.amazon.com/cloudwatch/

  2. ナビゲーションペインで、[ログ][ロググループ] の順に選択します。

  3. 証跡用に指定したロググループを選択します。

  4. 表示するログストリームを選択します。

  5. 証跡によって記録されたイベントの詳細を表示するには、イベントを選択します。

注記

CloudWatch コンソールの時刻 (UTC) 列には、イベントがロググループに配信された日時が表示されます。イベントが によって記録された実際の時刻を確認するには CloudTrail、eventTime「」フィールドを参照してください。

を使用した CloudWatch ログモニタリングの設定 AWS CLI

を使用して、モニタリングのためにイベントを CloudWatch ログ CloudTrail に送信するように AWS CLI を設定できます。

ロググループを作成する

  1. 既存のロググループがない場合は、 CloudWatch Logs create-log-group コマンドを使用してログイベントの配信エンドポイントとして CloudWatch ログロググループを作成します。

    aws logs create-log-group --log-group-name name

    次の例では、CloudTrail/logs という名前のロググループが作成されます。

    aws logs create-log-group --log-group-name CloudTrail/logs
  2. ロググループの Amazon リソースネーム () を取得しますARN。

    aws logs describe-log-groups

ロールの作成

ロググループにイベントを送信 CloudTrail できるようにする CloudWatch のロールを作成します。IAM create-role コマンドは、ロール名とロール継承ポリシードキュメントへのファイルパスの 2 つのパラメータを JSON 形式で受け取ります。使用するポリシードキュメントは、 にアクセスAssumeRole許可を付与します CloudTrail。create-role コマンドを実行すると、必要なアクセス許可を持ったロールが作成されます。

ポリシードキュメントを含むJSONファイルを作成するには、テキストエディタを開き、次のポリシー内容を というファイルに保存しますassume_role_policy_document.json

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

次のコマンドを実行して、 のAssumeRoleアクセス許可を持つロールを作成します CloudTrail。

aws iam create-role --role-name role_name --assume-role-policy-document file://<path to assume_role_policy_document>.json

コマンドが完了したら、出力内のロールを書き留めARNます。

ポリシードキュメントを作成する

の次のロールポリシードキュメントを作成します CloudTrail。このドキュメントは CloudTrail 、指定したロググループに CloudWatch ログログストリームを作成し、そのログストリームに CloudTrail イベントを配信するために必要なアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*" ] } ] }

role-policy-document.json という名前のファイルにポリシードキュメントを保存します。

組織の証跡にも使用される可能性があるポリシーを作成している場合は、少し異なる方法で構成する必要があります。例えば、次のポリシーは、指定したロググループに CloudWatch Logs ログストリームを作成し、 AWS アカウント 111111111111 の証跡と、ID が の AWS Organizations 組織に適用される 111111111111 アカウントで作成された組織の証跡の両方について、そのログストリームに CloudTrail イベントを配信するために必要な CloudTrail アクセス許可を付与します。o-exampleorgid:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] } ] }

組織の証跡の詳細については、「組織の証跡の作成」を参照してください。

次のマンドを実行して、ロールにポリシーを適用します。

aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://<path to role-policy-document>.json

証跡を更新する

update-trail コマンドを使用して CloudTrail、ロググループとロール情報で証跡を更新します。

aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn

AWS CLI コマンドの詳細については、AWS CloudTrail 「 コマンドラインリファレンス」を参照してください。

制限

CloudWatch ログと EventBridge 各 では、最大イベントサイズを 256 KB にすることができます。ほとんどのサービスイベントの最大サイズは 256 KB ですが、一部のサービスには、より大きなイベントがあります。これらのイベントは CloudWatch ログまたは に送信 CloudTrail されません EventBridge。

CloudTrail イベントバージョン 1.05 以降、イベントの最大サイズは 256 KB です。これは、悪意のあるアクターによる悪用を防ぎ、 CloudWatch ログや などの他の AWS のサービスでイベントを消費できるようにするためです EventBridge。