CloudTrail コンソールで CloudTrail イベントを表示する - AWS CloudTrail

CloudTrail コンソールで CloudTrail イベントを表示する

CloudTrail コンソールを使用して、AWS リージョンの過去 90 日間に記録された API アクティビティとイベントを表示できます。その情報を使用してファイルをダウンロードしたり、選択したフィルターおよび時間範囲に基づいて情報のサブセットをダウンロードしたりできます。[イベント履歴] の表示をカスタマイズするには、表示する列をコンソールで選択します。特定のサービスで利用できるリソースタイプにより、イベントを検索し、フィルタリングすることもできます。

90 日経過すると、イベントは [イベント履歴] に表示されなくなります。[イベント履歴] からイベントを手動で削除することはできません。証跡を作成すると、証跡設定で設定された S3 バケットに保存している限り、証跡に記録されたイベントを表示できます。

CloudTrail のログ記録は、AWS のサービスによって異なります。ほとんどの AWS のサービスでは、すべてのイベントの CloudTrail ログ記録がサポートされますが、一部のサービスでは API およびイベントのサブセットのログ記録のみがサポートされ、いくつかのサービスがサポートされません。CloudTrail が特定のサービスのイベントを記録する方法については、そのサービスのドキュメントを参照してください。詳細については、「CloudTrail サポートされるサービスと統合」を参照してください。

注記

実行されているアクティビティおよびイベントの記録については、「証跡を作成する」を参照してください。証跡を作成すると、次の統合を活用することもできます。

CloudTrail イベントを表示するには

  1. AWS マネジメントコンソール にサインインした後、https://console.aws.amazon.com/cloudtrail/home/ にある CloudTrail コンソールを開きます。

  2. ナビゲーションペインで [Event history] を選択します。

フィルタリングされたイベントのリストは、最新のイベントから先にコンテンツペインに表示されます。下にスクロールすると、さらにイベントが表示されます。

[イベント履歴] のイベントのデフォルトビューにはフィルターが適用されるため、読み取り専用イベントは表示されません。このフィルターを削除するか、他のフィルターを適用するには、フィルター設定を変更します。詳細については、「CloudTrail イベントのフィルタリング」を参照してください。

CloudTrail イベントの表示

[イベント履歴] の表示をカスタマイズするには、表示する列を CloudTrail コンソールで選択します。デフォルトでは、次の列が表示されます。

  • イベント時間

  • ユーザー名

  • イベント名

  • リソースタイプ

  • リソース名

注記

列の順序を変更したり、[イベント履歴] から手動でイベントを削除したりすることはできません。

[イベント履歴] に表示される列をカスタマイズするには

  1. AWS マネジメントコンソール にサインインした後、https://console.aws.amazon.com/cloudtrail/home/ にある CloudTrail コンソールを開きます。

  2. ナビゲーションペインで [Event history] を選択します。

  3. 歯車アイコンを選択します。

  4. [Show/Hide Columns] で、表示する列を選択します。非表示にする列の選択を解除します。完了したら、[Save] を選択します。

CloudTrail イベントのフィルタリング

[イベント履歴] のイベントのデフォルトの表示では、属性フィルターを使用して、表示されるイベントのリストから読み取り専用イベントを除外します。この属性フィルターは [読み取り専用] という名前で、false に設定されます。このフィルターを削除すると、読み取りと書き込みの両方のイベントを表示できます。読み取りイベントのみを表示するには、フィルターの値を true に変更できます。他の属性でイベントをフィルタリングすることもできます。さらに、時間範囲でフィルタリングすることができます。

注記

1 つの属性フィルターおよび時間範囲フィルターのみを適用できます。複数の属性フィルターを適用することはできません。

AWS アクセスキー

リクエストに署名するために使用された AWS アクセスキー ID。リクエストが、一時的セキュリティ認証情報で行われた場合、これは、一時的認証情報のアクセスキー IDです。

イベント ID

イベントの CloudTrail ID。各イベントには一意の ID があります。

イベント名

グループの名前。たとえば、CreatePolicy などの IAM イベントや、RunInstances などの Amazon EC2イベントでフィルタできます。

イベントソース

リクエスト先の AWS サービス (iam.amazonaws.coms3.amazonaws.com など)。[Event source] フィルタを選択すると、イベントソースのリストをスクロールできます。

読み取り専用

イベントの読み取りタイプ。イベントは、読み取りイベントまたは書き込みイベントとして分類されます。false に設定すると、読み取りイベントは表示されるイベントのリストに含まれません。デフォルトでは、この属性フィルターが適用され、値は false に設定されます。

リソース名

イベントによって参照されるリソースの名前または ID。たとえば、リソース名は、Auto Scaling グループの場合は、「auto-scaling-test-group」、EC2 インスタンスの場合は、「i-1234567」となります。

リソースタイプ

イベントによって参照されるリソースのタイプ。たとえば、リソースタイプは、EC2 の場合は、Instance、RDS の場合は、DBInstance となります。リソースタイプは、AWS のサービスごとに異なります。

時間範囲

イベントをフィルタリングする時間範囲。過去 90 日間のイベントをフィルタリングすることができます。

ユーザー名

イベントによって参照されるユーザーの ID。たとえば、これは、IAM ユーザー、IAM ロール名、またはサービスロールとすることができます。

選択した属性または時間に記録されたイベントがない場合、結果リストは空です。時間範囲に加えて、1 つの属性フィルタのみを適用できます。別の属性フィルタを選択した場合は、指定した時間範囲が保持されます。

次のステップでは、属性でフィルタリングする方法について説明します。

属性でフィルタリングするには

  1. 属性で結果をフィルタリングするには、[Select attribute] を選択し、[Enter lookup value] ボックスに値を入力するか、または選択します。

  2. 属性フィルタを削除するには、属性フィルタボックスの右側にある [X] を選択します。

次のステップでは、開始と終了の日時でフィルタリングする方法について説明します。

開始と終了の日時ででフィルタリングするには

  1. 表示したいイベントの時間範囲を絞り込むには、[Select time range] を選択します。

  2. 時間範囲フィルタを削除するには、[時間範囲] ボックスの右側にあるカレンダーアイコンを選択し、[削除] を選択します。

イベントの詳細の表示

  1. 結果リストでイベントを選択して、詳細を表示します。

  2. イベントが複数のリソースを参照した場合、追加のリソースは、詳細ペインの下部に一覧表示されます。

  3. 一部の参照されているリソースのリンクがあります。リンクを選択すると、そのリソースのコンソールが開きます。

  4. 詳細ペインで、[View Event] を選択し、JSON 形式でイベントを表示します。

  5. イベントを再度選択して詳細ペインを閉じます。

イベントのダウンロード

記録されたイベント履歴は、CSV または JSON 形式のファイルとしてダウンロードできます。ダウンロードするファイルのサイズを減らすには、フィルタと時間範囲を使用します。

注記

CloudTrail イベント履歴ファイルは、個々のユーザーによって設定できる情報 (リソース名など) を含むデータファイルです。一部のデータは、このデータ (CSV インジェクション) の読み取りと分析に使用されるプログラムでコマンドとして解釈される可能性があります。たとえば、CloudTrail イベントが CSV にエクスポートされ、スプレッドシートプログラムにインポートされると、そのプログラムから、セキュリティ上の問題について警告を受け取る場合があります。システムの安全性を維持するため、このコンテンツの無効化を選択してください。ダウンロードしたイベント履歴ファイルでは、リンクまたはマクロを常に無効にします。

  1. ダウンロードするイベントのフィルタと時間範囲を指定します。たとえば、イベント名 StartInstances を指定し、過去 3 日間のアクティビティの時間範囲を指定できます。

  2. 
                            download icon
                        を選択し、[CSV へエクスポート] または [JSON へエクスポート] を選択します。ダウンロードがすぐに開始されます。

    注記

    ダウンロードが完了するまで時間がかかる場合があります。迅速な結果を得るには、より特定のフィルタまたは短い時間範囲を使って結果を絞り込んでから、ダウンロードプロセスを開始します。

  3. ダウンロードが完了したら、ファイルを開いて、指定したイベントを表示します。

  4. ダウンロードをキャンセルする場合は、[ダウンロードのキャンセル] を選択します。

AWS Config で参照されたリソースの表示

AWS Config は、設定の詳細、関係、AWS リソースへの変更を記録します。

[Resources Referenced (参照されたリソース)] ペインで、 
                    AWS Config timeline icon
                を [Config のタイムライン] 列で選択し、AWS Config コンソールでリソースを表示します。


                    AWS Config timeline
                アイコンがグレーの場合、AWS Config が有効になっていないか、リソースタイプが記録されていません。このアイコンを選択すると、AWS Config コンソールに移動してサービスを有効にするか、そのリソースタイプの記録を開始します。詳細については、AWS Config Developer Guide の「コンソールを使用した AWS Config の設定」を参照してください。

列に [Link not available] が表示された場合、次のいずれかの理由でリソースを表示できません。

  • AWS Config はリソースタイプをサポートしていません。詳細については、AWS Config Developer Guide の「サポートされているリソース、設定項目、および関係」を参照してください。

  • AWS Config は、最近、リソースタイプのサポートを追加しましたが、CloudTrail コンソールからは、まだ利用できません。AWS Config コンソールでリソースを検索して、リソースのタイムラインを表示することができます。

  • リソースは、別の AWS アカウントによって所有されます。

  • このリソースは、管理 IAM ポリシーなどの別の AWS サービスによって所有されます。

  • リソースが作成され、すぐに削除されました。

  • リソースは、最近作成または更新されました。

  1. IAM リソースを記録するために AWS Config を設定します。

  2. IAM ユーザー、Bob というユーザーを作成します。[イベント履歴] ページには、CreateUser イベントとユーザー Bob が、IAM リソースとして表示されます。AWS Config アイコンを選択すると、AWS Config タイムラインで、この IAM リソースを表示できます。

  3. ユーザー名を 管理者 Bob に更新します。

  4. [イベント履歴] ページには、UpdateUser イベントと管理者 Bob が、更新された IAM リソースとして表示されます。

  5. アイコンを選択すると、タイムラインで管理者 Bob の IAM リソースを表示します。ただし、リソース名が変更されたため、ユーザー Bob のアイコンを選択することはできません。AWS Config は更新されたリソースを記録できるようになりました。

ユーザーに読み取り専用アクセス権限を付与するために AWS Config コンソールでリソースを表示するには、「CloudTrail コンソールで AWS Config 情報を表示するアクセス許可を付与する」を参照してください。

AWS Config の詳細については、AWS Config Developer Guide を参照してください。